Citrix Virtual Apps and Desktops

VMware-Virtualisierungsumgebungen

Folgen Sie diesen Anweisungen, wenn Sie zur Bereitstellung von virtuellen Maschinen VMware verwenden.

Installieren Sie vCenter Server und die Verwaltungstools. (Der “Linked Mode”-Betrieb von vSphere vCenter wird nicht unterstützt.)

Wenn Sie MCS verwenden möchten, deaktivieren Sie nicht das Datastore Browser-Feature in vCenter Server (siehe https://kb.vmware.com/s/article/2101567). Wenn Sie das Feature deaktivieren, funktioniert MCS nicht richtig.

Erforderliche Privilegien

Erstellen Sie ein VMware-Benutzerkonto und mindestens eine VMware-Rolle mit einigen oder allen Berechtigungen, die in diesem Artikel aufgeführt sind. Berücksichtigen Sie bei der Rollenerstellung die erforderliche Granularität für die Benutzerberechtigungen zum jederzeitigen Anfordern der verschiedenen Citrix DaaS-Vorgänge. Zum Gewähren spezifischer Berechtigungen für jeden Zeitpunkt weisen Sie dem Benutzer die entsprechende Rolle mindestens auf Datencenterebene zu, wobei die Option An untergeordnete Elemente weitergeben aktiviert ist. Für StorageProfile-Berechtigungen und eine bestimmte Tags-Berechtigung wenden Sie die Berechtigungen jedoch auf Root-vCenter Server-Ebene an, ohne An untergeordnete Elemente weitergeben. Sehen Sie sich die Hinweise in jeder dieser Tabellen an.

Die folgenden Tabellen zeigen die Zuordnungen zwischen Citrix Virtual Apps and Desktops-Vorgängen und die erforderlichen VMware-Mindestberechtigungen.

Hinweis:

Der Anzeigename der Berechtigungsliste, insbesondere für User Interface, ist in einigen vSphere-Versionen unterschiedlich. In vSphere 6.7 lautet die Berechtigung für User Interface beispielsweise Change Memory und Change Settings und nicht Settings und Memory, wie hier in den erforderlichen Berechtigungen beschrieben.

Verbindungen und Ressourcen hinzufügen

SDK Benutzeroberfläche
System.Anonymous, System.Read und System.View Automatisch hinzugefügt. Kann die integrierte Lesezugriff-Rolle verwenden.

Energieverwaltung

SDK Benutzeroberfläche
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset Virtual machine > Interaction > Reset
VirtualMachine.Interact.Suspend Virtual machine > Interaction > Suspend
Datastore.Browse Datastore > Browse datastore

Bereitstellen von Maschinen (Maschinenerstellungsdienste)

Für das Provisioning von Maschinen mit MCS sind die folgenden Berechtigungen erforderlich:

SDK Benutzeroberfläche
Datastore.AllocateSpace Datastore > Allocate Space
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
Network.Assign Network > Assign network
Resource.AssignVMToPool Resource > Assign virtual machine to resource pool
VirtualMachine.Config.AddExistingDisk Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk Virtual machine > Configuration > Add new disk
Virtual machine.Config > Add or remove device Virtual machine > Configuration > Add or remove device
VirtualMachine.Config.AdvancedConfig Virtual machine > Configuration > Advanced
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Config.CPUCount Virtual machine > Configuration > Change CPU count
VirtualMachine.Config.Memory Virtual machine > Configuration > Change memory
VirtualMachine.Config.Settings Virtual machine > Configuration > Change settings
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset Virtual machine > Interaction > Reset
VirtualMachine.Interact.Suspend Virtual machine > Interaction > Suspend
VirtualMachine.Inventory.CreateFromExisting Virtual machine > Inventory > Create from existing
VirtualMachine.Inventory.Create Virtual machine > Inventory > Create new
VirtualMachine.Inventory.Delete Virtual machine > Inventory > Remove
VirtualMachine.Provisioning.Clone Virtual machine > Provisioning > Clone virtual machine
VirtualMachine.State.CreateSnapshot vSphere 5.0, Update 2, vSphere 5.1, Update 1, and vSphere 6.x, Update 1: Virtual machine > State > Create snapshot; vSphere 5.5: Virtual machine > Snapshot management > Create snapshot

Updates und Rollbacks von Images

SDK Benutzeroberfläche
Datastore.AllocateSpace Datastore > Allocate Space
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
Network.Assign Network > Assign network
Resource.AssignVMToPool Resource > Assign virtual machine to resource pool
VirtualMachine.Config.AddExistingDisk Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk Virtual machine > Configuration > Add new disk
VirtualMachine.Config.AdvancedConfig Virtual machine > Configuration > Advanced
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On
VirtualMachine.Interact.Reset Virtual machine > Interaction > Reset
VirtualMachine.Inventory.CreateFromExisting Virtual machine > Inventory > Create from existing
VirtualMachine.Inventory.Create Virtual machine > Inventory > Create new
VirtualMachine.Inventory.Delete Virtual machine > Inventory > Remove
VirtualMachine.Provisioning.Clone Virtual machine > Provisioning > Clone virtual machine

Löschen bereitgestellter Maschinen

SDK Benutzeroberfläche
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Inventory.Delete Virtual machine > Inventory > Remove

Speicherprofil (vSAN)

Zum Anzeigen, Erstellen oder Löschen von Speicherrichtlinien bei der Katalogerstellung in einem vSAN-Datenspeicher sind die folgenden Berechtigungen obligatorisch:

SDK Benutzeroberfläche
StorageProfile.Update PROFILE-DRIVEN STORAGE > Profile-driven storage update. vSphere 8: VM storage policies > Update VM storage policies
StorageProfile.View PROFILE-DRIVEN STORAGE > Profile-driven storage view. vSphere 8: VM storage policies > View VM storage policies

Hinweis:

Wenden Sie die Speicherprofilberechtigungen auf Root vCenter Server-Ebene an, ohne sie An untergeordnete Elemente weiterzugeben.

Tags und benutzerdefinierte Attribute

Mithilfe von Tags und benutzerdefinierten Attributen können Sie Metadaten an die im vSphere-Bestand erstellten VMs anhängen und das Suchen und Filtern dieser Objekte vereinfachen. Zum Erstellen, Bearbeiten, Zuweisen und Löschen von Tags oder Kategorien sind die folgenden Berechtigungen erforderlich:

SDK Benutzeroberfläche
InventoryService.Tagging.CreateTag vSphere Tagging > Create vSphere Tag
InventoryService.Tagging.CreateCategory vSphere Tagging > Create vSphere Tag Category
InventoryService.Tagging.EditTag vSphere Tagging > Edit vSphere Tag
InventoryService.Tagging.EditCategory vSphere Tagging > Edit vSphere Tag Category
InventoryService.Tagging.DeleteTag vSphere Tagging > Delete vSphere Tag
InventoryService.Tagging.DeleteCategory vSphere Tagging > Delete vSphere Tag Category
InventoryService.Tagging.AttachTag vSphere Tagging > Assign or Unassign vSphere Tag
InventoryService.Tagging.ObjectAttachable vSphere Tagging > Assign or Unassign vSphere Tag on Object
Global.ManageCustomFields Global > Manage custom attributes
Global.SetCustomField Global > Set custom attribute

Hinweis:

  • Wenn MCS einen Maschinenkatalog erstellt, weist es den Ziel-VMs Namens-Tags zu. Anhand der Tags wird das Masterimage von mit MCS erstellten VMs unterschieden und verhindert, dass letztere für die Imageerstellung verwendet werden. Sie können den Unterschied anhand des Attributs XdProvisioned in vCenter identifizieren. Das Attribut ist True, wenn MCS VMs erstellt.
  • Wenden Sie die Speicherprofilberechtigungen InventoryService.Tagging.AttachTag auf Root vCenter Server-Ebene an, ohne sie An untergeordnete Elemente weiterzugeben.

Kryptographische Verfahren

Berechtigungen für kryptografische Verfahren legen fest, welcher Benutzer welche Art von kryptografischem Verfahren an welchem Objekttyp ausführen kann. vSphere Native Key Provider verwendet die Cryptographer.*-Berechtigungen. Die folgenden Mindestberechtigungen sind für kryptographische Verfahren erforderlich:

SDK Benutzeroberfläche
Cryptographer.Access Privileges > All Privileges > Cryptographic operations > Direct Access
Cryptographer.AddDisk Privileges > All Privileges > Cryptographic operations > Add disk
Cryptographer.Clone Privileges > All Privileges > Cryptographic operations > Clone
Cryptographer.Encrypt Privileges > All Privileges > Cryptographic operations > Encrypt
Cryptographer.EncryptNew Privileges > All Privileges > Cryptographic operations > Encrypt new
Cryptographer.Decrypt Privileges > All Privileges > Cryptographic operations > Decrypt
Cryptographer.Migrate Privileges > All Privileges > Cryptographic operations > Migrate
Cryptographer.ReadKeyServersInfo Privileges > All Privileges > Cryptographic operations > Read KMS information

Bereitstellen von Maschinen (Citrix Provisioning)

Um VMs über die Citrix Provisioning-Konsole mit dem Citrix Virtual Apps and Desktops-Setupassistenten und dem Assistenten zum Exportieren von Geräten bereitzustellen, sind diese Berechtigungen zum Klonen und Bereitstellen einer Vorlage erforderlich. Legen Sie die Berechtigungen fest, während Sie eine Hostingverbindung herstellen. Sie benötigen alle Berechtigungen von “Bereitstellen von Maschinen (Maschinenerstellungsdienste)” sowie folgende:

SDK Benutzeroberfläche
VirtualMachine.Config.AddRemoveDevice Virtual machine > Configuration > Add or remove device
VirtualMachine.Config.CPUCount Virtual machine > Configuration > Change CPU Count
VirtualMachine.Config.Memory Virtual machine > Configuration > Memory
VirtualMachine.Config.Settings Virtual machine > Configuration > Settings
VirtualMachine.Provisioning.CloneTemplate Virtual machine > Provisioning > Clone template
VirtualMachine.Provisioning.DeployTemplate Virtual machine > Provisioning > Deploy template
VApp.Export vApp > Export

Hinweis:

VApp.Export ist für die Erstellung von MCS-Maschinenkatalogen mithilfe von Maschinenprofilen erforderlich.

AppDisks erstellen

Gilt für VMware vSphere ab Version 5.5 und XenApp und XenDesktop ab Version 7.8.

SDK Benutzeroberfläche
Datastore.AllocateSpace Datastore > Allocate Space
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
VirtualMachine.Config.AddExistingDisk Virtual machine > Configuration > Add existing disk
VirtualMachine.Config.AddNewDisk Virtual machine > Configuration > Add new disk
VirtualMachine.Config.AdvancedConfig Virtual machine > Configuration > Advanced
VirtualMachine.Config.EditDevice Virtual machine > Configuration > Modify Device Settings
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off
VirtualMachine.Interact.PowerOn Virtual machine > Interaction > Power On

AppDisks löschen

Gilt für VMware vSphere ab Version 5.5 und XenApp und XenDesktop ab Version 7.8.

SDK Benutzeroberfläche
Datastore.Browse Datastore > Browse datastore
Datastore.FileManagement Datastore > Low level file operations
VirtualMachine.Config.RemoveDisk Virtual machine > Configuration > Remove disk
VirtualMachine.Interact.PowerOff Virtual machine > Interaction > Power Off

Zertifikat beschaffen und importieren

Um die vSphere-Kommunikation zu schützen, empfiehlt Citrix die Verwendung von HTTPS statt HTTP. HTTPS benötigt digitale Zertifikate. Citrix empfiehlt die Verwendung eines digitalen Zertifikats, das von einer Zertifizierungsstelle unter Berücksichtigung der Sicherheitsrichtlinie Ihrer Organisation erstellt wurde.

Wenn Sie kein digitales Zertifikat verwenden können, das von einer Zertifizierungsstelle ausgestellt wurde, können Sie das mit VMware installierte selbstsignierte Zertifikat verwenden, vorausgesetzt, die Sicherheitsrichtlinie Ihrer Organisation lässt dies zu. Fügen Sie das VMware vCenter-Zertifikat jedem Delivery Controller hinzu.

  1. Fügen Sie den vollqualifizierten Domänennamen (FQDN) des Computers, auf dem vCenter Server ausgeführt wird, der Hostdatei auf dem Server im Verzeichnis %SystemRoot%/WINDOWS/system32/Drivers/etc/ hinzu. Dieser Schritt ist nur erforderlich, wenn der FQDN des Computers, auf dem vCenter Server ausgeführt wird, nicht bereits im Domänennamensystem vorhanden ist.

  2. Rufen Sie das vCenter-Zertifikat mit einer der folgenden drei Methoden ab:

    Führen Sie auf dem vCenter-Server folgende Schritte aus:

    1. Kopieren Sie die Datei rui.crt vom vCenter-Server zu einem Speicherort, auf den Ihre Delivery Controller zugreifen können.
    2. Navigieren Sie auf dem Controller zu dem Speicherort des exportierten Zertifikats und öffnen Sie die Datei rui.crt.

    Laden Sie das Zertifikat über einen Webbrowser herunter. Bei Verwendung von Internet Explorer müssen Sie (abhängig von Ihrem Benutzerkonto) ggf. in Internet Explorer mit der rechten Maustaste klicken und Als Administrator ausführen wählen, um das Zertifikat herunterzuladen und zu installieren.

    1. Öffnen Sie einen Webbrowser und stellen Sie eine sichere Webverbindung mit dem vCenter-Server her (z. B. https://server1.domain1.com)).
    2. Akzeptieren Sie die Sicherheitswarnungen.
    3. Klicken Sie auf die Adressleiste, in der der Zertifikatfehler angezeigt wird.
    4. Zeigen Sie das Zertifikat an und klicken Sie auf die Registerkarte “Details”.
    5. Wählen Sie Copy to file and export in .CER format und geben Sie bei entsprechender Aufforderung einen Namen an.
    6. Speichern Sie das exportierte Zertifikat.
    7. Navigieren Sie auf den Speicherort des exportierten Zertifikats und öffnen Sie die CER-Datei.

    Importieren Sie direkt über Internet Explorer unter Ausführung als Administrator.

    • Öffnen Sie einen Webbrowser und stellen Sie eine sichere Webverbindung mit dem vCenter-Server her (z. B. https://server1.domain1.com)).
    • Akzeptieren Sie die Sicherheitswarnungen.
    • Klicken Sie auf die Adressleiste, in der der Zertifikatfehler angezeigt wird.
    • Zeigen Sie das Zertifikat an.
  3. Importieren Sie das Zertifikat auf jedem Controller in den Zertifikatspeicher.

    1. Klicken Sie auf Zertifikat installieren, wählen Sie Lokaler Computer und klicken Sie dann auf Weiter.
    2. Wählen Sie Alle Zertifikate in folgendem Speicher speichern und klicken Sie dann auf Durchsuchen. Wählen Sie Vertrauenswürdige Personen und klicken Sie auf OK. Klicken Sie auf Weiter und dann auf Fertigstellen.

    Wenn Sie den Namen des vSphere-Servers nach der Installation ändern, müssen Sie ein neues selbstsigniertes Zertifikat auf diesem Server erstellen, bevor Sie das neue Zertifikat importieren.

Überlegungen zur Konfiguration

Erstellen einer Master-VM:

Verwenden Sie eine Master-VM zur Bereitstellung von Benutzerdesktops und Anwendungen in einem Maschinenkatalog. Auf dem Hypervisor:

  1. Installieren Sie einen VDA auf der Master-VM unter Auswahl der Option zur Desktopoptimierung, wodurch die Leistung verbessert wird.
  2. Erstellen Sie einen Snapshot der Master-VM, um diesen als Backup zu verwenden.

Erstellen einer Verbindung:

Führen Sie im Assistenten für die Verbindungserstellung folgende Schritte aus:

  • Wählen Sie den Verbindungstyp “VMware”.
  • Geben Sie die Adresse des Zugriffspunkts für das vCenter SDK an.
  • Geben Sie die Anmeldeinformationen für ein zuvor eingerichtetes VMware-Konto ein, das Berechtigungen zum Erstellen neuer VMs hat. Geben Sie den Benutzernamen im Format Domäne/Benutzername ein.

VMware SSL-Fingerabdruck

Mit dem VMware SSL-Fingerabdruckfeature wurde ein häufig aufgetretener Fehler beim Erstellen einer Hostverbindung mit einem VMware vSphere-Hypervisor behoben. Bisher musste der Administrator eine Vertrauensstellung zwischen den Site-Delivery Controllern und dem Hypervisor-Zertifikat vor dem Erstellen einer Verbindung manuell erstellen. Dank VMware SSL-Fingerabdruck ist dies nicht mehr nötig. Der Fingerabdruck des nicht vertrauenswürdigen Zertifikats wird in der Sitedatenbank gespeichert, damit der Hypervisor zwar nicht von den Controllern, jedoch von Citrix Virtual Apps and Desktops immer als vertrauenswürdig eingestuft wird.

Beim Erstellen einer vSphere-Hostverbindung in Studio wird ein Dialogfeld mit dem Zertifikat der Maschine angezeigt, mit der Sie eine Verbindung herstellen. Sie können dann wählen, ob sie als vertrauenswürdig gelten soll.

VMware-Virtualisierungsumgebungen