Vi è mai capitato di installare un nuovo server Citrix XenApp 5, aggiornare con il Feature Pack 2 e rimanere bloccati con l’errore “Error 1920. Service ‘Citrix SMA Service’ (Citrix SMA Service) failed to start. Verify that you have sufficient privileges to start system services.” durante l’installazione di un Hotfix Rollup Pack (per esempio il 6)?
In questo particolare caso, controllando l’EventViewer, troviamo alcuni eventi 7000 e 7009 che ci dicono che il servizio non è partito nei tempi richiesti.
In effetti il vero problema è proprio di timeout: il Citrix SMA Service non è riuscito a partire nei tempi richiesti dal sistema operativo, ma questo timeout può essere modificato come spiegato nella KB884495 Microsoft. Ma perché?
Con le ultime release del servizio (sicuramente con l’aggiornamento all’Hotfix Rollup Pack 6) il Citrix SMA Service cerca di scaricare la Certificate Revocation List di Verisign, ma se il vostro server è dietro ad un firewall e non può navigare liberamente, è probabile che provi più volte a richiedere la CRL attendendo i vari retry del TCP e quindi prolungando moltissimo i tempi di avvio del servizio. Ecco quindi il messaggio di errore sopra citato. Potete verificare con un netstat -n e se il problema è realmente questo dovreste trovare un connessione TCP in stato SYN_SENT verso la porta 80 di un indirizzo IP tipo 199.7.x.y che corrispondono appunto ad alcuni server di VeriSign.
Il problema può essere risolto in diversi modi: modificando le regole del firewall, oppure caricando una rotta statica per la rete 199.7.0.0/16 che punti ad un apparato che risponda (solitamente il firewall fa un drop del pacchetto senza inviare una risposta, per cui il server attende tino al timeout).