Microsoft- und Citrix-zertifiziert [Update 1 - 03.05.2011]

Eine spannende Exkursion

Von Thorsten Geppert am 11.04.2011, geändert 03.06.2011 (5011 Aufrufe).

Ich arbeite jetzt seit acht Jahren und genau einem Monat im selben Laden. Ich habe schon vieles gesehen, noch mehr gehört und viel darüber gelesen: die Inkompetenz von MCSElern. Nun glaube ich natürlich nicht alles, was ich höre oder lese, aber ... beginnen wir am Anfang.

Schon immer wollte ich einen eigenen Microsoftler haben, für nur ein paar Stunden, vielleicht für einen Tag. Heute, genau heute, war dieser Tag. Obgleich es mir nicht gut ging - ich bin fieß erkältet - erhob ich mich aus dem Bett, fuhr Richtung Arbeit, sammelte meine beiden Kollegen ein und freute mich innerlich schon auf ... auf wen? Nennen wir ihn Erwin. Ich freute mich also darauf, mit Erwin, dem von Microsoft und Citrix zertifizierten Professional ein paar Dinge auf unserem leider noch übrig gebliebenen Windows-Server, der Citrix beherbergt, anzugehen. Nun ist es so, dass der Server eigentlich recht gut läuft, naja, nachdem ich das Service Pack 1 für Windows Server 2008 R2 eingespielt hatte, musste er zwar neuinstalliert werden, da das Update Citrix zerschossen hatte, aber alles in allem macht der Server fast weniger Probleme, als meine Schuppenflechte. Mittlerweile ist er virtualisiert und damit recht "sicher" in der "Sicherung". Dennoch fehlen mir als Unixer (so darf ich mich eigentlich nicht nennen, da ich FreeBSD, Mac OS X und Linux mache und kein richtiges Unix (Mac OS X ... naja)) erhebliche Windowskenntnisse, die ich mir gerne mit meinem Kollegen ein wenig auffrischen wollte. Vor allem aber Citrix-Kenntnisse, da ich keine Schulung erhielt und das mehr oder minder aus dem Stehgreif machte.

Erwin war ganz pünktlich. Ein junger Mann, voller Tatendrang, mit iPhone und iPad bewaffnet, und einem Notizblock in Form eines Thinkpads, setzte sich hin und wir begannen mit dem üblichen Geplänkel. Ich nasalierte, wie scheiße das ganze Windows ist, er hielt dagegen und wir begannen. Als Testumgebung hatte ich auf meinem MacBook Pro Windows Server 2008 R2 SP1 installiert, alle Updates eingespielt und, da ich Windows nur virtuell betreibe, einen Snapshot gemacht. Ich wollte, dass Erwin uns die Profi-Tipps der Installation zeigt. Nun ist Erwin natürlich nur Windows-Farmen (ein lustiger Begriff, haben wir doch unsere eigens entwickelte Verlagssoftware RinD getauft - natürlich nur ein Entwicklungsname, der aber irgendwie bei den Kollegen in Fleisch und Blut übergegangen ist) gewöhnt, bei denen viele Windows-Citrix-Server mitspielen und nicht, wie bei uns, nur einer. Denn, so muss der Leser wissen, besteht Citrix oder, korrekter formuliert, XenApp 6.0 nicht nur aus einem Hauptprogramm, sondern tausenden Teilen, die sich in drei übergeordnete einteilen lassen: dem eigentlichen XenApp, dem Lizenserver und dem Web-Interface. Laut Erwin installiert man das alles auf dedizierten Maschinen, aber wie wir es machen, ist es nicht klug, würde aber auch gehen. Sicher, Erwin. Für die paar Sachen, die der Server macht, stelle ich drei hin, mit Lizenzkosten, mit frickligem Windows, mit Virenscanner. Hat dann auch ein besseres Balancing. Statt 90% Idle, die unser einzelner Server hat, hätten dann alle drei um die 99%.

Nun gibt es im Installationsdialog die Möglichkeit, den XML-Service, auf dem selben Port (80) lauschen zu lassen, wie den IIS. Das ist durchaus wichtig auf einem Server, der alle drei Dienste beinhaltet, denn, oh wunder, funktioniert es nicht. Natürlich wurde der Haken nicht gesetzt, weil: brauchen wir ja nicht. Gut, ich bin auf dem Gebiet kein Profi, wie der Erwin, also lassen wir mal weiter laufen. Die Installation zog und zog sich, geschätzt, gut eine halbe Stunde. Da kann aber niemand was für, guter Wein muss nun mal reifen, auch wenn ich ihn zum Kotzen finde. Irgendwann war die Installation dann durch und wir gingen zur Konfiguration über. Bisher hatte es sich nicht gelohnt, Erwin anfahren zu lassen, denn bis auf die erwähnte Kleinigkeit hatte er auch nichts anderes gemacht, als ich. Während der Installation erzählte uns Erwin, wie toll das alles (Citrix, Windows) sei und dass es Citrix-Installationen mit 2300 Servern gebe (die würde ich gerne sehen, ich warf in den Raum, dass die Admins vermutlich kostenlos Drogen bekämen und ich nicht glaube, dass sowas wirklich auch nur ansatzweise funktioniert, aber Erwin bestätigte es - naja, wer's glaubt).

Erwin machte sich frohen Mutes also an die Konfiguration des Lizenzservers. Ein widerspenstiges Biest, dieser Lizenzserver. Zum einen, weil das Web-Interface nicht auf Port 8082 lauschen wollte, da lief bereits irgendwas drauf, und das kenne ich seit Jahren, für Erwin war das aber neu, zum anderen weil das seit eh und je ein Bug im Web-Interface des Servers ist, so dass der beim Import der Lizenzdatei einen Fehler meldet. Letztlich muss man nur den Lizenzserver neustarten, aber man benötigt das Web-Interface nicht, man kann die Lizenzdatei auch direkt in's richtige Verzeichnis kopieren und dann den Lizenzserver neustarten - spart Zeit und Nerven. Erwin wird nach Stunden bezahlt - also Erwin vermutlich nicht, aber sein Zuhälter, erm, Dienstleister. Nun gut, das Web-Interface auf Port 8083 gestellt, die Lizenzdatei eingespielt, gefühlte zweihundert Mal den Server neugestartet, lief ... nichts.

Hin und her probiert, die Götter angebetet, angeflucht und angelacht, doch: es lief nicht. Naja, stimmt nicht ganz. Die Anwendungen ließen sich vom alten Citrix-Server importieren. Ein kurzer Abstecher dazu: früher, ganz ganz früher, um genau zu sein, vor zwei Wochen, exportierte ich alle Anwendungen aus dem alten Citrix. Ich dachte mir, es wäre klug, einfach in der Delivery-Konsole alle auszuwählen und dann zu speichern. Citrix tat das auch, was ich aber nicht merkte, da ich dachte, er würde pro Programm eine Datei erstellen. Es wurde abre nur eine erstellt, und zwar mit dem Dateinamen des als erstes ausgewählten Programm. Ich exportierte alle Anwendungen dann einzeln und importierte dann nur die erste wieder in das neue Citrix. Zu meinem Erstaunen wurden dann aber alle Anwendungen importiert. Na klar, waren ja alle in dieser einen Datei drin. Erwin merkte das doch recht schnell. Hätte mir auch einfallen können, aber da die Admin-Tools von Citrix eh eine Sache für sich sind und ich die nicht für ernst nehme, dachte ich nicht daran. Erwin konnte auch recht schnell erklären, warum die Benutzer fehlerhaft mit den Anwendungen importiert wurden. Sie werden von Citrix mit den UIDs gespeichert, die natürlich in einer Neu-Installation anders sind. Natürlich? Naja, auf meinem FreeBSD kann ich die per Hand setzen, auf Windows ... keine Ahnung. Vielleicht mit der Registry? Wer weiß. Aber eine Neuzuordnung ist ja nicht aufwendig, laut Erwin. Naja, er musste das ja auch nicht etliche Male machen und die Benutzerverwaltung in Citrix (also Anwendungen Benutzern zuweisen) ist katastrophal umständlich.

Kommen wir zurück zu "es funktioniert nicht". Aufgrund meines allgemeinen Unwohlseins kann ich mich nicht mehr an alle Details erinnern, die probiert wurden, um die Citrix-Installation an's Rennen zu bekommen, Fakt ist aber, dass wir den Snapshot unserer virtuellen Maschine nutzen mussten, da es laut Erwin schneller ginge, alles neu zu installieren, da er sich wegen dem XML-Service (wir erinnern uns an Port 80) verrannt hatte.

Alles auf Anfang. Mittlerweile war es so gegen 13:00 Uhr. Wunderlicherweise hatte Erwin bis dahin nichts gegessen (und er würde auch bis zu seiner Abreise gegen 16:30 Uhr nichts essen), was mich aber viel mehr verwunderte: der Mann war nicht ein einziges Mal auf der Toilette. Nicht ein Mal. Wie macht der das? Ich meine, es waren mindestens acht Stunden, und er hat mindestens eine Flasche Wasser geleert. Also wenn man das in den Citrix-/Windows-Kursen lernt, will ich auch einen haben. Nun, ohne mittagliches Essen kann ich nicht denken, also futterte ich auch was. Bei Erwin hätte das vermutlich aber auch nichts mehr gebracht.

Die Installation brauchte und brauchte wieder Zeit, die wir dann mit der Abarbeitung weiterer Fragen nicht vertrödelten. Natürlich haben wir ihm den Fragenkatalog vorab zugeschickt, damit er sich ein Bild machen konnte. Beispielsweise Windows in NIS integrieren. Ich weiß, NIS ist "outdated", wir nutzen es aber. Warum? Weil es super einfach ist, funktioniert und uns nicht im Stich lässt. LDAP wäre sinnvoller, aber ich liebe die Einfachheit, die Durchsichtigkeit, auch wenn ich auf Features verzichten muss. NIS nutzen wir jetzt seit viereinhalb Jahren und es funktionierte immer zuverlässig. Tja, mit NIS kenne sich Erwin nicht aus. Auch bei den Linux-Problemen mit dem Citrix-Client könne er uns nicht wirklich weiterhelfen, da er sich auch mit Linux nicht auskenne. Gut, wie wir feststellten, haben sich seit XenApp 5.0 nach XenApp 6.0, dass wir jetzt seit zwei Wochen nutzen - ich hatte das in einer Nacht- und Nebelaktion installiert, da SP1 ja Citrix abschoss, installiert - einige Dinge getan und einige Linux-Frickeleien wurden erträglicher (sorry, Citrix, aber wenn ihr einen Linux-Client herausbringt, dann bitte vernünftig - OpenMotif ist auch nicht mehr State of the Art) und somit funktionierten einige angemarkerte Dinge doch mittlerweile (Audio-Transfer zum Beispiel). Hätte ich prüfen müssen, hatte aber keine Zeit. Macht ja nichts, sind nur fünf Minuten für in's Land gegangen und somit wurde keine kostbare Zeit vergeudet.

Die Installation war durch, Erwin zeigte uns die ganzen Gruppenrichtlinien von Citrix - wow, kann das viel - und, sie interessierten mich eigentlich gar nicht. Bei rund der Hälfte wusste Erwin auch nicht, was sie machen, wofür sie da sind, denn damit hatte er sich noch nicht beschäftigt. Er hatte aber schon die ein oder andere Vermutung.

Eine Anwendung wurde dann importiert (mal wieder) und: Fehler. Irgendwas mit den Lizenzen stimmt nicht (wir hatten für die Citrix-Versuche extra ein eigenes abgeschottes Netzwerk aufgebaut, damit nichts in die Quere kommt). Es ließen sich keine Programme starten. Geschätzte zwei Stunden (legt mich darauf nicht fest) machte Erwin jetzt an der Citrix-Installation rum. Ohne Erfolg. Die Programme starteten weder lokal noch von einem Client aus. Erwin wäre nicht Erwin, wäre er nicht auf die Idee gekommen: Hey, wäre es nicht besser, wenn wir die restlichen Probleme an dem funktionierenden Server probieren würden (also den, den ich FreeBSDler installiert hatte *hust*)? Ne, wäre es nicht, aber eine andere Wahl haben wir ja nicht, denn Erwin bekommt das Dingen ja nicht zum Laufen (das darf echt nicht wahr sein, ich meine, ich habe das jetzt schon vier oder fünf Mal gemacht und es war nie wirklich ein großes Problem, und so ein infizierter, erm, zertifizierter, der das den ganzen Tag in großen Unternehmen angeblich macht, kriegt nicht Mal die Basisinstallation hin?!). Mir wurde speiübel, als ich rausging und später wiederkam und mein Kollege meinte, dass Erwin eine Schriftart auf dem Produktivsystem rechtemäßig so geschrottet hätte, dass man die Schrift neuinstallieren müsse. Die Versuche haben wir dann ganz schnell unterbunden. Ich habe extra gesagt, er darf daran nichts kaputt machen. Naja, Windows-Frickler halt. Man kann nichts kaputt machen, was bereits kaputt ist.

Eine weitere Fragestellung war, warum "net user", ein Befehl, um Benutzer via Kommandozeile anzulegen, das Flag /expires:nerver nicht korrekt umsetzt. Was macht der hochprofessionelle Erwin? Genau: Browser auf und Google an. Wir zahlen jemanden 75 Euro pro Stunde, damit er "googelt". Gut, dass er schnell (geschätzte dreißig Minuten) zum Erfolg kam. Ja, Erfolg steckt auch in Mißerfolg. Er meinte, das geht mit der Powershell, die hat aber andere Befehle und er zeigte mir, wie es gehen könne. Ich meinte trocken, dass die Befehle für "Active Directory" wären, was wir aber nicht nutzen und er meinte, dass ihm das gerade auch aufgefallen wäre, es aber bestimmt auch irgendwie lokal ginge. Danke, Erwin. Ein kurzes Statement von mir, warum ich Benutzer via Konsole anlegen will: In einem mit GELI mit 128bit verschlüsselten Image auf FreeBSD gibt es eine CSV-Datei mit allen Benutzern unseres Netzwerks. Diese Datei enthält neben Benutzernamen, Kennwort, Namen alle Gruppen und die Hauptgruppe. Dazu habe ich ein Programm geschrieben, dass die Datei durchgeht und Befehle zum Erstellen des Benutzers für FreeBSD, Samba und Windows erzeugt. So muss ich das nicht mehrfach pflegen und man kann im Falle eines Desasters alle Benutzer binnen Sekunden korrekt anlegen. Laut Erwin hat man die Probleme bei "Active Directory" nicht. Es kommt nie vor, dass Erwin mal viele Benutzer anlegen muss. Immer nur einen. Das geht ganz gut mit den grafischen Programmen, die Windows bietet. Und wenn er doch mal etliche User anlegen muss, dann braucht er keine Gruppen zuzuweisen, denn er hat ja Gruppenrichtlinien. Und auch einen Assistenten. Außerden legt niemand Benutzer auf der Kommandozeile unter Windows an.

Die Citrix-Website (also nicht die offizielle, sondern die, die man im Site-Konfigurator erstellt), funktionierte auch nicht, nachdem Erwin sie einrichtete. Sie sollte den Java-Citrix-Client anbieten, konnte aber nur mit dem nativ installierten reden. Fakt ist, wenn ich den Client nativ installiert habe, gibt es keinen, keinen einzigen Grund, die Website zu nutzen. Mein Browser unter FreeBSD lud nur immer und immer wieder eine .ica-Datei herunter. Gut, FreeBSD halt. Ich probierte es dann auf Windows. Selber Erfolg. Laut Erwin kann das nicht sein, da hat er wohl einen Fehler gemacht, weiss aber nicht, woran das liegt.

Je mehr ich drüber nachdenke, desto mehr rege ich mich auf. In der Summe kommen wir vielleicht auf eine komprimierte Stunde, die uns die Anwesenheit von Erwin was gebracht hat. Der Rest war dummes Geplänkel, laufen googelte Erwin (das kann ich auch) nach Problemlösungen, laufend wurden Probleme gemacht, wo keine sind. Einzig eine Fehlinformation an mich seitens, soweit ich mich erinnere, Bechtle, wurde von Erwin korrigiert. Das war ganz gut, liefen wir hier doch nicht, wie es sein sollte. Das Problem wird diese Woche direkt korrigiert. Was mich auch immer wieder beeindruckt ist, dass alles außer Windows Linux ist. Ich habe Erwin hundert Mal gesagt, dass ich FreeBSD nutze. Laufend faselte er was von Linux. Jetzt mag man meinen, dass das keinen Unterschied macht, tut es beim Citrix-Client aber, da dieser anders integriert ist und im FreeBSD Linuxator läuft. Das sind Dinge, die beachtet werden müssen.

Also, es tut mir leid. Wir haben schon ab und an mit von Microsoft zertifizierten Leuten zu tun, und immer wieder zeigt sich, dass die nichts, aber auch gar nichts hinkriegen. Anstelle diese teuren Prüfungen zu machen, solltet ihr euch lieber mit der Thematik beschäftigen, denn das Wissen ist besser, als irgendein Zettel von einem Unternehmen, dass selbst nichts auf die Reihe bringt.

Mein Kollege hat sich in der Mittagspause mal die Website des Dienstleisters, bei der Erwin arbeitet, angesehen. Mal abgesehen davon, dass man externe Inhalte in Form von Websites in die Seite integrieren kann (index.php?linkeSpalte=http://www.bla.de&rechteSpalte=http://www.blub.de) ist auch SQL-Injection ohne Weiteres möglich. SQL-Injection. SQL-Injection! Spinnen die? Das zeigt mal wieder die Kompetenz der zertifizierten.

[Update 1 - 03.05.2011]

Bei der Firma handelt es sich übrigens um die HTH Holtkamp GmbH. Da es sich leider um eine firmeninterne Angelegenheit handelt, darf ich echte Namen und den Schriftverkehr, der es in sich hat (ich kann da nur mit dem Kopf schütteln), nicht veröffentlichen. Ich distanziere mich auch davon, von der Firma abzuraten. Bei diesem Text handelt es sich lediglich um einen Erfahrungsbericht.

[zurück]