App-V 5 Server und die Authentifizierung


Hallo zusammen,

auf dem letzten App-V Tag in Sömmerda haben wir in dem Vortrag zu App-V 5 auch kurz über das Thema Authentifizierung gesprochen. Jetzt – nachdem App-V 5.0 verfügbar ist fragten mich schon ein paar Teilnehmer was ist nun damit.

Darum hier die “ultimative” Antwort auf diese Frage:

So wir haben in meinem Test einen App-V Server 5.0 der auf einem Windows Server 2012 installiert ist. DIeser Server hält die Rolle des Management Servers und die des Publishing Servers.

Der SQL Server der die Datenbank hält ist seperat. Dann gibt es noch einen Client in meinem Fall ein Windows 8 x64.

Es gibt zwei Anwendungen, einmal den Adobe Reader X und Winzip. Adobe Reader habe ich zwei Gruppen zugewiesen und Winzip nur einer. Beide Anwendungen sind in der Ausgangslage veröffentlicht.

Soweit so gut. Nun lassen wir den Test beginnen:

Zu beginn nach der Publikation auf dem Client kopiere ich mal den Shortcut (um das starten über kopirte Shortcuts zu testen):

image

Den Adobe Reader nehme ich die Veröffentlichung (Unpublish) und bei Winzip entferne ich nur die Gruppe, lasse Winzip aber veröffentlicht (published).

Die ganze Zeit über kann ich auf meinem Windows 8 System beide Anwendungen starten – ohne jegliche Meldung das ich nicht mehr dürfte etc.

Erst als ich manuel einen Sync mit dem Publishing Server durchführe ändert sich das Bild:

image

Ok, also ein Sync mit dem Publishing Server hat also einen “bereinigten” Effekt auf das Verhalten.

Aber wann läuft denn der Sync automatisiert?

Er läuft per geplanten Task zum bzw. nach dem Logon. Und hier ist auch der Hund begraben. In dem oben beschriebenen Scenario, ohne manuellen Sync – melde ich mich ab und wieder an – und starte nach ein paar Minuten Adobe Reader X – Kein problem.

image

Was ist passiert?

Der Sync lief noch nicht durch und wenn eine App-V Anwendung gestartet ist kann der Sync nicht durchlaufen. Der Benutzer bekommt davon je nach Anwendung nichts mit.

Im Fall von Adobe Reader X werden zwei Fehler geloggt, die aber keinen Einfluss auf die Funktionalität von Adobe Reader haben. Auf dem Bild unten sieht man so eine Fehlermeldung samt der Fehlermeldung beim Versuch einen Sync durchzuführen der dann fehlschlägt.

image

Das der Sync im Ganzen fehlschlägt, ist es möglich dass bei Anwendungen die täglich genutzt werden dass diese “niemals” entfernt werden können.

Somit hat der App-V 5.0 Admin nicht mehr die Art von Kontrolle über die Anwendungen die er mit 4.5 / 4.6 hatte.

Es bleibt abzuwarten ob sich dieses Verhalten noch mal ändern wird.

Für Anmerkungen oder Fragen bin ich stets dankbar.

Schönen Gruß

 

Sebastian Gernert – Escalation Engineer App-V

Comments (7)

  1. Nguyen xuan giao says:

    article very interesting and useful to me, thank you http://xuangiao.com

  2. Sebastian Fiedler says:

    Hallo Herr Gernert,

    nach einem erfolgreichen Publishing auf dem Client liegen die App-V Anwendungen unter C:Users<irgendeinUser>AppDataLocalMicrosoftAppVClientIntegration.

    Kopiere ich aus so einem Ordner den Root-Ordner einer Anwendung woanders hin, kann ich die Anwendung auch nach einem Depublishing und auch nach Entfernen der AD-Rechte problemlos starten.

    Wird sich dieses Verhalten vielleicht auch nochmal ändern?

    Beste Grüße

    Sebastian Fiedler

  3. S Gern says:

    Hallo Herr Fiedler,

    Der eigendliche APP-V Cache ist ja hier: C:ProgramDataApp-V und das Verzeichnis das SIe angeben ist – einfach ausgedrückt das PKG File.

    Das Verhalten das Sie beobachten ist korrekt wobei man zwei Dinge beachten muss.

    Der Publishing Server holt sich alle 10 Minuten die Informationen vom Management Server. Ihr Änderungen werden also erst nach 10 Minuten dem Pub. Server bekanntgegeben. Erst dann wird ein Sync wie oben beschrieben dafür sorgen dass Sie die Anwendung nicht mehr starten können.

    Diese 10 Minuten kann man in der Registry konfigurieren.

    Schönen Gruß

    Sebastian Gernert

  4. Sebastian Fiedler says:

    Hallo Herr Gernert,

    ich gebe Ihnen teilweise Rechte: starte ich nach dem Sync die Anwendung direkt aus dem App-V Cache, erscheint eine Fehlermeldung.

    Kopiere ich die Anwendung jedoch (egal ob von Local AppData oder ProgramData) an einen anderen Ort wie den Downloads-Ordner, kann ich die Anwendung als Domänen-Benutzer problemlos starten – selbst mit entzogenen Rechten, aufgehobener Veröffentlichung, mehreren Stunden Wartezeit und manuellen Syncs. Sogar der Webaufruf vom Client gegen den Publishing Server liefert eine (natürlich nur fast) leere XML.

    Eine weitere Frage stellt sich mir noch durch Ihre Information: Welchen Unterschied gibt es zwischen den Anwendungsordnern unter Local AppData des Benutzers und des App-V Caches unter ProgramData (wenn wir jetzt den einfachen Fall betrachten und nur eine Anwendung veröffentlich haben)?

    Beste Grüße

    Sebastian Fiedler

  5. S Gern says:

    Hallo Herr Fiedler,

    Gut – das kommen wir nun zusammen.

    Was ich mit diesem Artikel darstellen möchte ist die Tatsache, dass man mit

    APP-V 5.0 sehr viel Integration gewinnt aber auch die bisher gewohnte "volle" Kontrolle über die Anwendung verliert und nur noch eine Teilkontrolle hat.

    Nach dem Sync wird der Aufbau der virtuellen Umgebung aus dem APP-V Cache heraus verhindert.  

    Auch ist mir aufgefallen, dass ich Ihre erste Frage nicht ganz beantwortet habe – ob sich das Verhalten noch mal ändern wird.

    Das kann ich aktuell nicht bestätigen oder "verneinen". Es gibt Bestrebungen und Kundenfeedback die sich eine bessere Kontrolle zurückwünschen.

    ProgramdataAPP-V ist der APP-V Cache (Das Q Laufwerk) und die Daten im Profil sind das "User Data Dir" (PKG Dateien in 4.X) unterteilt in roaming und local.

    Sofort nach dem Publishing ohne Anwendungsstart und ohne Scripts, sollte der Integration Folder leer sein bzw. bleiben (je nach Anwendung).

    Bei mir mit Adobe X bleibt der integration Ordner leer – außer ich ändere Einstellungen.

    Schönen Gruß

    Sebastian Gernert

  6. S Gern says:

    Hallo Herr Fiedler,

    könnten Sich mich mal per Email kontaktieren und mir Ihre Telefonummer mitteilen, ich würde gerne kurz mit Ihnen telefonieren. Danke

    Sie können die Email Funktion des Blogs nutzen.

    Vielen Dank.

    Sebastian Gernert

  7. Peter says:

    Nicht schlecht Herr Specht! <a href="http://www.ip-projects.de/v-server.html&quot; target=_blank>V-Server</a>