Citrix Provisioning

Vorbereitungen zur Installation

Vor der Installation und Konfiguration von Citrix Provisioning führen Sie die folgenden Aufgaben aus.

Wichtig : Installieren Sie alle aktuellen Windows-Updates, bevor Sie Citrix Provisioning-Komponenten installieren. Citrix empfiehlt, dass Sie nach der Installation aller Windows-Updates einen Neustart ausführen.

Microsoft SQL-Datenbank auswählen und konfigurieren

Einer Farm ist nur eine Datenbank zugeordnet. Die Citrix Provisioning-Datenbanksoftware kann auf folgenden Computern installiert werden:

  • Computer mit einer vorhandenen SQL-Datenbank, wenn der Computer mit allen Provisioning-Servern der Farm kommunizieren kann.
  • Computer mit einer neuen SQL Express-Datenbank, die mit dem von Microsoft kostenfrei zur Verfügung gestellten SQL Server Express erstellt wurde.

In einer Produktionsumgebung empfiehlt es sich, die Datenbank und die Citrix Provisioning-Serversoftware auf separaten Servern zu installieren, um eine schlechte Verteilung beim Lastausgleich zu vermeiden.

Der Datenbankadministrator kann eine leere Citrix Provisioning-Datenbank erstellen. Stellen Sie in diesem Fall dem MS SQL-Datenbankadministrator die mit dem Hilfsprogramm DbScript.exe neu erstellt Datei bereit. Dieses Hilfsprogramm wird mit der Provisioning-Software erstellt.

Tipp:

Weitere Informationen finden Sie unter How to Manually Create a Database for Provisioning Services .

Datenbankgröße

Informationen zur Datenbankgröße finden Sie unter Estimate the Size of a Database.

Beim Erstellen der Datenbank ist die Größe 20 MB und der Zuwachs 10 MB. Die anfängliche Größe des Datenbankprotokolls ist 10 MB und der Zuwachs 10 %.

Der Basiswert für den erforderlichen Speicherplatz ist 112 KB, und der Wert ändert sich nicht. Das Basisimage umfasst Folgendes:

  • DatabaseVersion-Datensatz benötigt ca. 32 KB
  • Farmdatensatz benötigt ca. 8 KB
  • DiskCreate-Datensatz benötigt ca. 16 KB
  • Benachrichtigungen benötigen ca. 40 KB
  • ServerMapped-Datensatz benötigt ca. 16 KB

Basierend auf Objekten ist der variable Wert für den erforderlichen Speicherplatz wie folgt:

  • Zugriff und Gruppierungen (pro Objekt)
    • Benutzergruppe, die Systemzugriff hat, benötigt ca. 50 KB
    • Sitedatensatz benötigt ca. 4 KB
    • Eine Sammlung benötigt ca. 10 KB
  • FarmView (jeweils)
    • FarmView benötigt ca. 4 KB
    • FarmView/Device-Beziehung benötigt ca. 5 KB
  • SiteView (jeweils)
    • SiteView benötigt ca. 4 KB
    • SiteView/Device-Beziehung benötigt ca. 5 KB
  • Zielgerät (jeweils)
    • Zielgerät benötigt ca. 2 KB
    • DeviceBootstrap benötigt ca. 10 KB
    • Device:Disk-Beziehung benötigt ca. 35 KB
    • DevicePersonality benötigt ca. 1 KB
    • DeviceStatus beim Starten eines Geräts benötigt ca. 1 KB
    • DeviceCustomProperty benötigt ca. 2 KB
  • Datenträger (jeweils)
    • Eindeutiger Datenträger benötigt ca. 1 KB
    • DiskVersion benötigt ca. 3 KB
    • DiskLocator benötigt ca. 10 KB
    • DiskLocatorCustomProperty benötigt ca. 2 KB
  • Provisioning-Server (jeweils)
    • Server benötigt ca. 5 KB
    • ServerIP benötigt ca. 2 KB
    • ServerStatus beim Starten eines Servers benötigt ca. 1 KB
    • ServerCustomProperty benötigt ca. 2 KB
  • Store (jeweils)
    • Store benötigt ca. 8 KB
    • Store:Serverbeziehung benötigt ca. 4 KB
  • Datenträgerupdate (jeweils)
    • VirtualHostingPool benötigt ca. 4 KB
    • UpdateTask benötigt ca. 10 KB
    • DiskUpdateDevice benötigt ca. 2 KB
    • Jede DiskUpdateDevice:Disk-Beziehung benötigt ca. 35 KB
    • Disk:UpdateTask-Beziehung benötigt ca. 1 KB

Die folgenden Änderungen führen zur Zunahme der Speicherplatzanforderungen:

  • Jede verarbeitete Aufgabe (Beispiel: Versionszusammenführung für virtuelle Datenträger) benötigt ca. 2 KB
  • Wenn die Überwachung aktiviert ist, benötigt jede vom Administrator in der Citrix Provisioning-Konsole, in MCLI oder in der PowerShell-Oberfläche ausgeführte Änderung ca. 1 KB

Datenbankspiegelung

Damit Citrix Provisioning die MS SQL-Datenbankspiegelung unterstützt, muss die Datenbank mit der Option High-safety mode with a witness (synchronous) konfiguriert werden.

Wenn Sie das Feature für die Datenbankspiegelung verwenden, muss SQL Native Client auf dem Server installiert sein. Bei der Installation von SQL wird die Option zum Installieren von SQL Native Client x64 oder x86 angezeigt, falls diese Komponente noch nicht vorhanden ist.

Weitere Informationen zum Konfigurieren und Verwenden der Datenbankspiegelung finden Sie unter Datenbankspiegelung.

Datenbankclustering

Folgen Sie zum Implementieren des Datenbankclusterings den Anweisungen von Microsoft und führen Sie dann den Konfigurationsassistenten für Citrix Provisioning aus. Es sind keine weiteren Schritte erforderlich, da der Assistent den Cluster als einen einzigen SQL Server betrachtet.

Authentifizierung konfigurieren

Citrix Provisioning verwendet die Windows-Authentifizierung für den Zugriff auf die Datenbank. Die Microsoft SQL Server-Authentifizierung wird, ausgenommen vom Konfigurationsassistenten, nicht unterstützt.

Benutzerberechtigungen für den Konfigurationsassistenten

Der Benutzer, der den Konfigurationsassistenten ausführt, muss die folgenden MS SQL-Berechtigungen haben:

  • dbcreator zum Erstellen der Datenbank
  • securityadmin zum Erstellen der SQL-Anmeldungen für die Stream- und SOAP-Dienste

Bei Verwendung von MS SQL Express in einer Testumgebung können Sie dem Benutzer, der den Konfigurationsassistenten ausführt, sysadmin-Berechtigungen (die höchste Datenbankberechtigung) erteilen.

Wenn der Datenbankadministrator eine leere Datenbank mit dem Hilfsprogramm DbScript.exe erstellt hat, muss der Benutzer, der den Konfigurationsassistenten ausführt, der Eigentümer der Datenbank sein. Darüber hinaus muss dieser Benutzer über die Berechtigung View any definition verfügen. Diese Berechtigung wird vom Datenbankadministrator beim Erstellen der leeren Datenbank festgelegt.

Dienstkontoberechtigungen

Für den Benutzerkontext des Stream- und SOAP-Dienstes sind die folgenden Datenbankberechtigungen erforderlich:

  • db\_datareader
  • db\_datawriter
  • Ausführungsberechtigung für gespeicherte Prozeduren

Die Datenbankrollen für Datareader und Datawriter werden für das Benutzerkonto der Stream- und SOAP-Dienste mit dem Konfigurationsassistenten automatisch konfiguriert. Der Konfigurationsassistent weist diese Berechtigungen zu, wenn der Benutzer über die “security admin”-Berechtigung verfügt. Zudem muss der Dienstbenutzer die folgenden Systemberechtigungen haben:

  • Als Dienst ausführen
  • Lesezugriff auf die Registrierung
  • Zugriff auf Programme\Citrix\Citrix Provisioning
  • Lese-/Schreibzugriff auf jeden Speicherort für virtuelle Datenträger

Legen Sie fest, unter welchen der folgenden unterstützten Benutzerkonten der Stream- und SOAP-Dienst ausgeführt werden soll:

  • Netzwerkdienstkonto:

    Lokales Konto mit Mindestberechtigungen, das im Netzwerk als Domänenkonto des Computers authentifiziert wird.

  • Specified user account (erforderlich bei Verwendung einer Windows-Freigabe), das ein Arbeitsgruppen- oder Domänenbenutzerkonto sein kann.

Unterstützung für die KMS-Lizenzierung erfordert, dass das SOAP-Server-Benutzerkonto Mitglied der Gruppe lokaler Administratoren ist.

Tipp:

Da die Authentifizierung in Arbeitsgruppenumgebungen nicht üblich ist, müssen auf jedem Server Benutzerkonten mit Mindestberechtigungen erstellt werden und jede Instanz muss identische Anmeldeinformationen aufweisen.

Legen Sie die passende Sicherheitsoption für die Farm fest. Es kann nur eine Option pro Farm ausgewählt werden und die Auswahl wirkt sich auf die rollenbasierte Administration aus. Sicherheitsoptionen:

  • Use Active Directory groups for security: (Standard). Wählen Sie diese Option für eine Windows-Domäne, die Active Directory ausführt. Mit dieser Option können Sie Active Directory für die Citrix Provisioning-Administrationsrollen nutzen.

    Hinweis:

    Windows 2000-Domänen werden nicht unterstützt.

  • Use Windows groups for security. Wählen Sie diese Option für einen einzelnen Server oder in einer Arbeitsgruppe. Mit dieser Option können Sie die lokalen Benutzer/Gruppen auf diesem Server für Citrix Provisioning-Administrationsrollen nutzen.

Konsolenbenutzer greifen nicht direkt auf die Datenbank zu.

Zu den Mindestberechtigungen, die für zusätzliche Provisioning-Funktionalität benötigt werden, gehören u. a.:

  • Citrix Virtual Apps and Desktops-Setupassistent, Setupassistent für gestreamte VMs und Imageupdatedienst
    • Mindestberechtigungen für vCenter, SCVMM und XenServer (früher Citrix Hypervisor)
    • Berechtigungen für den aktuellen Benutzer auf einem bestehenden Citrix Virtual Apps and Desktops-Controller
    • Ein Citrix Provisioning-Konsolenbenutzerkonto, das als Citrix Virtual Apps and Desktops-Administrator konfiguriert ist und einer Provisioning-SiteAdmin-Gruppe oder höher hinzugefügt wurde
    • Active Directory-Berechtigung zum Erstellen von Konten, damit neue Konten in der Konsole erstellt werden können. Wenn Sie vorhandene Konten verwenden, müssen die Active Directory-Konten bereits in einer bekannten Organisationseinheit vorhanden sein, damit sie ausgewählt werden können.
  • Active Directory-Kontosynchronisierung: Berechtigungen zum Erstellen, Zurücksetzen und Löschen
  • Virtueller Datenträger: Privilegien zum Durchführen von Volumenwartungsaufgaben

Hinweis:

Für ein Dienstkonto sind keine besonderen AD-Berechtigungen erforderlich.

Kerberos-Sicherheit

In der Standardeinstellung verwenden die Citrix Provisioning-Konsole, der Imagingassistent, das PowerShell-Snap-In und MCLI in einer Active Directory-Umgebung für die Kommunikation mit dem SOAP-Dienst die Kerberos-Authentifizierung. Im Rahmen der Kerberos-Architektur muss sich ein Dienst beim Domänencontroller (Kerberos Key Distribution Center) registrieren (ein SPN (Service Principal Name) erstellen). Die Registrierung ist wichtig, da Active Directory dann das Konto erkennen kann, unter dem der SOAP-Dienst ausgeführt wird. Wenn die Registrierung nicht durchgeführt wird, schlägt die Kerberos-Authentifizierung fehl und Citrix Provisioning greift auf die NTLM-Authentifizierung zurück.

Der Citrix Provisioning-SOAP-Dienst wird bei jedem Dienststart registriert und die Registrierung wird beim Anhalten des Diensts aufgehoben. Die Registrierung schlägt fehl, wenn das Dienstbenutzerkonto keine Berechtigungen hat. In der Standardeinstellung haben das Netzwerkdienstkonto und die Domänenadministratoren Berechtigungen; ein normales Domänenbenutzerkonto hat keine Berechtigungen.

Sie vermeiden dieses Problem mit einer der folgenden Vorgehensweisen:

  • Verwenden Sie ein anderen Konto, das SPNs erstellen kann.

  • Weisen Sie dem Dienstkonto Berechtigungen zu.

||| |Kontotyp|Berechtigung| |—|—| |Computerkonto|Schreibrechte für geprüften SPN| |Benutzerkonto|Schreibrechte für öffentliche Informationen|

Vorbereitungen zur Installation