Citrix Provisioning 2112

Vorbereitungen zur Installation

Vor der Installation und Konfiguration von Citrix Provisioning führen Sie die folgenden Aufgaben aus.

Wichtig:

Installieren Sie alle aktuellen Windows-Updates, bevor Sie Citrix Provisioning-Komponenten installieren. Citrix empfiehlt, dass Sie nach der Installation aller Windows-Updates einen Neustart ausführen.

Microsoft SQL-Datenbank auswählen und konfigurieren

Jede PVS-Farm hat eine einzige Datenbank. Sie können die Datenbank folgendermaßen bereitstellen:

  • Auf einer vorhandenen SQL Server- oder SQL Server Express-Instanz
  • Auf einem neuen Server mit SQL Server oder SQL Server Express

Alle PVS-Server in einer Farm müssen mit dem Datenbankserver kommunizieren können.

In einer Produktionsumgebung empfiehlt es sich, die SQL Server- bzw. SQL Server Express-Instanz und die Citrix Provisioning-Serversoftware auf separaten Servern zu installieren, um eine schlechte Verteilung beim Lastausgleich zu vermeiden.

Es gibt drei Möglichkeiten, die Datenbank zu erstellen:

  • Verwenden Sie den Konfigurationsassistenten. Hierfür benötigen Sie eine dbcreator-Berechtigung.
  • Wenn Sie keine Berechtigung zum Erstellen von Datenbanken haben, verwenden Sie das Dienstprogramm DbScript.exe, um ein SQL-Skript zu erstellen, das ein Datenbankadministrator zum Erstellen der Provisioning-Datenbank ausführen kann. Dieses Hilfsprogramm wird mit der Provisioning-Software erstellt.
  • Wenn der Datenbankadministrator eine leere Datenbank mit dem Dienstprogramm DbScript.exe erstellt, wird diese beim Ausführen des Konfigurationsassistenten als Datenbank für die neue Farm ausgewählt. Die Anmeldung, die beim Ausführen des Konfigurationsassistenten verwendet wird, muss der Besitzer der Datenbank sein. Darüber hinaus muss das Benutzerkonto über die Berechtigung View any definition verfügen. Diese Berechtigung wird vom Datenbankadministrator beim Erstellen der leeren Datenbank festgelegt.

Führen Sie das Dienstprogramm DbScript.exe aus, um die Datenbank zu erstellen oder zu aktualisieren

Wenn Sie keine Berechtigung zum Erstellen von Datenbanken haben, erstellen Sie mit DbScript.exe ein SQL-Skript, das der Datenbankadministrator zum Erstellen oder Aktualisieren der PVS-Datenbank ausführen kann. Führen Sie das Skript über die Windows-Eingabeaufforderung in C:\Program Files\Citrix\Provisioning Services aus.

Verwenden Sie die folgende Syntax, um das Skript zum Erstellen der Datenbank zu generieren:

DbScript.exe -new <databaseName> <farmName> <siteName> <collectionName> <farmAdminGroup> <adGroupsEnabled> <scriptName> <is2012orHigher>

Geben Sie Folgendes ein, um das Skript zum Aktualisieren der Datenbank zu generieren:

DbScript.exe -upgrade <databaseName> <scriptName>

Die Befehle verwenden die folgenden Argumente:

  • <databaseName> — Name der zu erstellenden oder zu aktualisierenden Datenbank
  • <farmName> — Farmname für die neue Datenbank
  • <siteName> — Sitename für die neue Datenbank
  • <collectionName> — Sammlungsname für die neue Datenbank
  • <farmAdminGroup> — Farmadministratorgruppe, angegeben als vollständiger Pfad

    Hinweis:

    Wenn Sie den Konfigurationsassistenten ausführen, müssen Sie Mitglied dieser Gruppe (einer Active Directory-Gruppe) sein, um die PVS-Server zur Datenbank hinzuzufügen.

  • <adGroupsEnabled> — Aktiviert oder deaktiviert AD-Gruppen, als boolescher Wert festgelegt, wobei true AD-Gruppen aktiviert und false AD-Gruppen deaktiviert
  • <scriptName> — Name des zu generierenden Skripts, angegeben als vollständiger Pfad
  • <is2012orHigher> — veraltet. Verwenden Sie true.

Beispiele für DbScript.exe

In diesem Beispiel wird ein Skript zum Erstellen einer leeren Citrix Provisioning-Datenbank mit dem Namen db1-2 generiert. Das Skript namens newDb.sql befindet sich in C:.

C:\Program Files\Citrix\Provisioning Services> DbScript.exe -new db1-2 Farm1 Site1 Collection1 "test.local/Users/Domain Users" true c:\newDb.sql true

In diesem Beispiel wird ein Skript zum Aktualisieren der Citrix Provisioning-Datenbank test1 generiert. Das Skript namens upgrade.sql befindet sich, da kein Pfad angegeben ist, in dem Verzeichnis, in dem das Skript ausgeführt wurde (C:\Program Files\Citrix\Provisioning Services).

C:\Program Files\Citrix\Provisioning Services>DbScript.exe -upgrade test1 upgrade.sql

Datenbankgröße

Weitere Informationen finden Sie unter Datenbankgröße.

Beim Erstellen der Datenbank ist die Größe 20 MB und der Zuwachs 10 MB. Die anfängliche Größe des Datenbankprotokolls ist 10 MB und der Zuwachs 10 %.

Der Basiswert für den erforderlichen Speicherplatz ist 112 KB, und der Wert ändert sich nicht. Das Basisimage umfasst Folgendes:

  • DatabaseVersion-Datensatz benötigt ca. 32 KB
  • Farmdatensatz benötigt ca. 8 KB
  • DiskCreate-Datensatz benötigt ca. 16 KB
  • Benachrichtigungen benötigen ca. 40 KB
  • ServerMapped-Datensatz benötigt ca. 16 KB

Basierend auf Objekten ist der variable Wert für den erforderlichen Speicherplatz wie folgt:

  • Zugriff und Gruppierungen (pro Objekt)
    • Benutzergruppe, die Systemzugriff hat, benötigt ca. 50 KB
    • Sitedatensatz benötigt ca. 4 KB
    • Eine Sammlung benötigt ca. 10 KB
  • FarmView (jeweils)
    • FarmView benötigt ca. 4 KB
    • FarmView/Device-Beziehung benötigt ca. 5 KB
  • SiteView (jeweils)
    • SiteView benötigt ca. 4 KB
    • SiteView/Device-Beziehung benötigt ca. 5 KB
  • Zielgerät (jeweils)
    • Zielgerät benötigt ca. 2 KB
    • DeviceBootstrap benötigt ca. 10 KB
    • Device:Disk-Beziehung benötigt ca. 35 KB
    • DevicePersonality benötigt ca. 1 KB
    • DeviceStatus beim Starten eines Geräts benötigt ca. 1 KB
    • DeviceCustomProperty benötigt ca. 2 KB
  • Datenträger (jeweils)
    • Eindeutiger Datenträger benötigt ca. 1 KB
    • DiskVersion benötigt ca. 3 KB
    • DiskLocator benötigt ca. 10 KB
    • DiskLocatorCustomProperty benötigt ca. 2 KB
  • Provisioning-Server (jeweils)
    • Server benötigt ca. 5 KB
    • ServerIP benötigt ca. 2 KB
    • ServerStatus beim Starten eines Servers benötigt ca. 1 KB
    • ServerCustomProperty benötigt ca. 2 KB
  • Store (jeweils)
    • Store benötigt ca. 8 KB
    • Store:Serverbeziehung benötigt ca. 4 KB
  • Datenträgerupdate (jeweils)
    • VirtualHostingPool benötigt ca. 4 KB
    • UpdateTask benötigt ca. 10 KB
    • DiskUpdateDevice benötigt ca. 2 KB
    • Jede DiskUpdateDevice:Disk-Beziehung benötigt ca. 35 KB
    • Disk:UpdateTask-Beziehung benötigt ca. 1 KB

Die folgenden Änderungen führen zur Zunahme der Speicherplatzanforderungen:

  • Jede verarbeitete Aufgabe (Beispiel: Versionszusammenführung für virtuelle Datenträger) benötigt ca. 2 KB
  • Wenn die Überwachung aktiviert ist, benötigt jede vom Administrator in der Citrix Provisioning-Konsole, in MCLI oder in der PowerShell-Oberfläche ausgeführte Änderung ca. 1 KB

Datenbankspiegelung

Damit Citrix Provisioning die MS SQL-Datenbankspiegelung unterstützt, muss die Datenbank mit der Option High-safety mode with a witness (synchronous) konfiguriert werden.

Weitere Informationen zum Konfigurieren und Verwenden der Datenbankspiegelung finden Sie unter Datenbankspiegelung.

Implementieren des Datenbankclusterings

Gehen Sie zum Implementieren des Datenbankclusterings folgendermaßen vor:

  1. Folgen Sie den Anweisungen von Microsoft.
  2. Führen Sie den Citrix Provisioning-Konfigurationsassistenten aus.
  3. Geben Sie den Listener für Verfügbarkeitsgruppen als Datenbankserver an. Es wird keine Instanz verwendet.
  4. Aktivieren Sie Multi-Subnet Failover in den Verbindungsoptionen.

Unterstützte Authentifizierungstypen

Anhand der Tabelle können Sie festlegen, wie und mit welchen Anmeldeinformationen sich Citrix Provisioning bei der Datenbank authentifizieren soll.

Authentifizierungstyp Gewährt Zugriff für Erforderliche Anmeldeinformationen Datenbankplattform Beschränkungen
Active Directory-integriert Active Directory-Benutzer. Erstellen Sie den Benutzernamen in Active Directory, wenn Sie keinen bestehenden verwenden möchten. Nichts (aktueller Anmeldekontext wird verwendet) SQL Server Der PVS-Server muss zu einer Domäne gehören, der PVS-Dienstbenutzerkontext muss ein Domänenbenutzer sein und PVS muss von einem Domänenbenutzer konfiguriert werden.
SQL Server SQL-Anmeldung. Erstellen Sie eine SQL-Anmeldung auf dem Datenbankserver, wenn Sie keine vorhandene verwenden möchten. Anmeldung und Kennwort SQL Server  

Hinweis:

Informationen zu den unterstützten Authentifizierungstypen für Citrix Provisioning in Azure finden Sie unter Unterstützte Authentifizierungstypen für Citrix Provisioning in Azure.

Authentifizierung konfigurieren

Citrix Provisioning verwendet die Windows-Authentifizierung für den Zugriff auf die Datenbank. Die Microsoft SQL Server-Authentifizierung wird, ausgenommen vom Konfigurationsassistenten, nicht unterstützt.

Benutzerberechtigungen für den Konfigurationsassistenten

Das zur Ausführung des Konfigurationsassistenten verwendete Anmeldungskonto muss die folgenden MS SQL-Berechtigungen haben:

Bei Verwendung von MS SQL Express in einer Testumgebung können Sie der zum Ausführen des Konfigurationsassistenten verwendeten Anmeldung, sysadmin-Berechtigungen (die höchste Datenbankberechtigung) erteilen.

Dienstkontoberechtigungen

Für den Benutzerkontext des Stream- und SOAP-Dienstes sind die folgenden Datenbankberechtigungen erforderlich:

  • db_datareader
  • db_datawriter
  • Ausführungsberechtigungen für gespeicherte Prozeduren

Die Datenbankrollen für Datareader und Datawriter werden für das Benutzerkonto der Stream- und SOAP-Dienste mit dem Konfigurationsassistenten automatisch konfiguriert. Der Konfigurationsassistent weist diese Berechtigungen zu. Zudem muss das Dienstanmeldekonto die folgenden Systemberechtigungen haben:

  • Als Dienst ausführen
  • Lesezugriff auf die Registrierung
  • Zugriff auf Programme\Citrix\Citrix Provisioning
  • Lese-/Schreibzugriff auf jeden Speicherort für virtuelle Datenträger

Legen Sie fest, unter welchen der folgenden unterstützten Benutzerkonten der Stream- und SOAP-Dienst ausgeführt werden soll:

  • Netzwerkdienstkonto:

    Lokales Konto mit Mindestberechtigungen, das im Netzwerk als Domänenkonto des Computers authentifiziert wird.

  • Specified user account (erforderlich bei Verwendung einer Windows-Freigabe), das ein Arbeitsgruppen- oder Domänenbenutzerkonto sein kann.

Unterstützung für die KMS-Lizenzierung erfordert, dass das SOAP-Server-Benutzerkonto Mitglied der Gruppe lokaler Administratoren ist.

Tipp:

Da die Authentifizierung in Arbeitsgruppenumgebungen nicht üblich ist, müssen auf jedem Server Benutzerkonten mit Mindestberechtigungen erstellt werden und jede Instanz muss identische Anmeldeinformationen aufweisen.

Legen Sie die passende Sicherheitsoption für die Farm fest. Es kann nur eine Option pro Farm ausgewählt werden und die Auswahl wirkt sich auf die rollenbasierte Administration aus. Sicherheitsoptionen:

  • Use Active Directory groups for security: (Standard). Wählen Sie diese Option für eine Windows-Domäne, die Active Directory ausführt. Mit dieser Option können Sie Active Directory für die Citrix Provisioning-Administrationsrollen nutzen.

    Hinweis:

    Windows 2,000-Domänen werden nicht unterstützt.

  • Use Windows groups for security: Wählen Sie diese Option für einen einzelnen Server oder in einer Arbeitsgruppe. Mit dieser Option können Sie die lokalen Benutzer/Gruppen auf diesem Server für Citrix Provisioning-Administrationsrollen nutzen.

Konsolenbenutzer greifen nicht direkt auf die Datenbank zu.

Zu den Mindestberechtigungen, die für zusätzliche Provisioning-Funktionalität benötigt werden, gehören u. a.:

  • Citrix Virtual Apps and Desktops-Setupassistent, Setupassistent für gestreamte VMs und Imageupdatedienst
    • Mindestberechtigungen für vCenter, SCVMM und Citrix Hypervisor
    • Berechtigungen für den aktuellen Benutzer auf einem bestehenden Citrix Virtual Apps and Desktops-Controller
    • Ein Citrix Provisioning-Konsolenbenutzerkonto, das als Citrix Virtual Apps and Desktops-Administrator konfiguriert ist und einer Provisioning-SiteAdmin-Gruppe oder höher hinzugefügt wurde
    • Active Directory-Berechtigung zum Erstellen von Konten, damit neue Konten in der Konsole erstellt werden können. Wenn Sie vorhandene Konten verwenden, müssen die Active Directory-Konten bereits in einer bekannten Organisationseinheit vorhanden sein, damit sie ausgewählt werden können.
  • Active Directory-Kontosynchronisierung: Berechtigungen zum Erstellen, Zurücksetzen und Löschen
  • Virtueller Datenträger: Privilegien zum Durchführen von Volumenwartungsaufgaben

Hinweis:

Für ein Dienstkonto sind keine besonderen AD-Berechtigungen erforderlich.

Aktivieren einer Remoteverbindung in SQL Server

Verwenden Sie die Informationen in diesem Abschnitt, um eine Remoteverbindung mit dem SQL-Server herzustellen.

  1. Melden Sie sich beim SQL-Server mit SQL Server Management Studio an.
  2. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf den SQL-Server und wählen Sie Eigenschaften:

    Objekt-Explorer von MS SQL-Server

  3. Wählen Sie im Fenster Objekt-Explorer den Knoten Verbindungen. Aktivieren oder deaktivieren Sie unter Remoteserververbindungen das Kontrollkästchen Remoteverbindungen mit diesem Server zulassen:

MS SQL-Serververbindungen

Nach dem Update der Remoteserververbindung:

  1. Klicken Sie im Startmenü auf Start > Microsoft SQL Server Version > SQL Server Version Configuration Manager. Das Fenster SQL Server-Konfigurations-Manager wird angezeigt.
  2. Erweitern Sie die Option SQL Server-Netzwerkkonfiguration. Wählen Sie Protokolle für (Ihr Servername). Wählen Sie TCP/IP und klicken Sie mit der rechten Maustaste. Wählen Sie im Kontextmenü die Option Aktivieren. Klicken Sie auf OK, um den Dienst neu zu starten.

TCP/IP von MS SQL-Server

Ändern Sie nach dem Neustart des Diensts den Startmodus. Im Fenster SQL Server-Konfigurations-Manager:

  1. Wählen Sie SQL Server-Dienste. Klicken Sie im rechten Bereich mit der rechten Maustaste auf die Option SQL Server-Browser, um ein Kontextmenü anzuzeigen.
  2. Wählen Sie Eigenschaften.
  3. Ändern Sie auf der Registerkarte Dienst den Startmodus in Automatisch.
  4. Klicken Sie auf OK.

Eigenschaften des MS SQL Server-Browsers

  1. Wählen Sie den SQL Server-Browser und klicken Sie mit der rechten Maustaste, um ein Kontextmenü anzuzeigen. Klicken Sie auf Starten.
  2. Wählen Sie den SQL Server-Instanznamen und klicken Sie mit der rechten Maustaste, um das Kontextmenü anzuzeigen. Klicken Sie auf Neu starten.

Erstellen einer Ausnahme für SQL Server in der Windows-Firewall

Verwenden Sie die Informationen in diesem Abschnitt, um eine Ausnahme für SQL Server in Umgebungen mit Windows-Firewall zu erstellen:

  1. Öffnen Sie die Systemsteuerung und wählen Sie System und Sicherheit.
  2. Wählen Sie Windows Defender Firewall:

    MS SQL Server Windows Defender Firewall

  3. Klicken Sie auf Eine App oder ein Feature durch die Windows Defender Firewall zulassen. Aktivieren Sie die Windows-Firewall:

    MS SQL Server aktiviert Windows Defender Firewall

  4. Klicken Sie im Fenster Kommunikation von Apps durch die Windows-Firewall zulassen auf Andere App zulassen…:

    MS SQL Server lässt Firewall-Apps zu

  5. Klicken Sie im Bildschirm App hinzufügen auf Durchsuchen.
  6. Navigieren Sie zum SQL-Dienst sqlserver.exe und klicken Sie auf Öffnen. Der Standardpfad zu sqlserver.exe lautet:

    • SQL 2019 — C:\Program Files\Microsoft SQL Server\MSSQL15.<SQL Instance Name>\MSSQL\Binn
    • SQL 2017 — C:\Program Files\Microsoft SQL Server\MSSQL14.<SQL Instance Name>\MSSQL\Binn
  7. Klicken Sie auf Hinzufügen:

MS SQL Server lässt Firewall-Apps zu

  1. Wiederholen Sie die Schritte 4 bis 7 für C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.
  2. Klicken Sie auf OK.

Schutz der Verbindung zwischen Provisioning-Server und SQL Server

SQL Server, der Lizenzserver und der Provisioning-Server können so konfiguriert werden, dass sie eine sichere Verbindung ermöglichen.

Verwenden Sie die Informationen in diesem Abschnitt, um eine sichere Verbindung mit dem SQL-Server herzustellen.

Führen Sie auf dem Computer mit SQL Server folgende Schritte aus:

  1. Beziehen Sie ein Serverzertifikat mit einem privaten Schlüssel zur Verwendung als Serverzertifikat für den SQL-Server. Sie können das Serverzertifikat von einer vertrauenswürdigen Stelle beziehen oder ein selbstsigniertes Zertifikat verwenden. Serverzertifikat und privater Schlüssel müssen in einer .PFX-Datei sein. Der CN muss der FQDN des Computers mit SQL Server sein.
  2. Importieren Sie das Zertifikat und den Schlüssel in den Ordner mit den persönlichen Zertifikaten des lokalen Computer-Zertifikatspeichers auf dem Computer mit SQL Server.
  3. Erteilen Sie dem SQL-Server Zugriff auf das Zertifikat und den Schlüssel.
  4. Gehen Sie folgendermaßen vor, um den SQL-Server zum Erzwingen sicherer Verbindungen zu konfigurieren.

    1. Führen Sie den SQL Server-Konfigurations-Manager aus.
    2. Wählen Sie links SQL Server Network Configuration > Protocols for instance.
    3. Klicken Sie mit der rechten Maustaste und wählen Sie Properties.
    4. Stellen Sie auf der Registerkarte Flags die Option Force Encryption auf Yesein.
    5. Wählen Sie auf der Registerkarte Certificate das Serverzertifikat aus der Dropdownliste aus. Wenn das Zertifikat nicht in der Liste enthalten ist, überprüfen Sie, ob es wie beschrieben importiert wurde.
    6. Klicken Sie auf OK und starten Sie den SQL Server-Dienst für die Instanz neu.

Gehen Sie auf dem PVS-Servercomputer folgendermaßen vor:

  1. Stellen Sie die Zertifizierungsstellenzertifikate bereit, die für die Vertrauensstellung des Serverzertifikats erforderlich sind.
    1. Besteht keine Vertrauensstellung für die Zertifizierungsstelle:
      1. Beziehen Sie das Zertifizierungsstellenzertifikat.
      2. Importieren Sie es in den Ordner mit den vertrauenswürdigen Stammzertifizierungsstellen des Zertifikatsspeichers des lokalen Computers.
    2. Wenn das Serverzertifikat selbstsigniert ist:
      1. Exportieren Sie auf dem Computer mit SQL Server nur das Zertifikat in eine Zertifikatdatei.
      2. Kopieren Sie dieses Zertifikat auf den PVS-Servercomputer.
      3. Importieren Sie das Zertifikat in den Ordner mit den vertrauenswürdigen Stammzertifizierungsstellen des Zertifikatsspeichers des lokalen Computers.
  2. Konfigurieren Sie den Provisioning-Server für die Verbindung mit dem SQL-Server unter dem im Zertifikat angegebenen Namen (= FQDN des SQL Server-Computers). Führen Sie bei Bedarf den Konfigurationsassistenten aus, um den Beitritt zur Farm zu wiederholen. Bei dieser Methode können Sie den Namen des Datenbankservers ändern.

Kerberos-Sicherheit

In der Standardeinstellung verwenden die Citrix Provisioning-Konsole, der Imagingassistent, das PowerShell-Snap-In und MCLI in einer Active Directory-Umgebung für die Kommunikation mit dem SOAP-Dienst die Kerberos-Authentifizierung. Im Rahmen der Kerberos-Architektur muss sich ein Dienst beim Domänencontroller (Kerberos Key Distribution Center) registrieren (ein SPN (Service Principal Name) erstellen). Die Registrierung ist wichtig, da Active Directory dann das Konto erkennen kann, unter dem der SOAP-Dienst ausgeführt wird. Wenn die Registrierung nicht durchgeführt wird, schlägt die Kerberos-Authentifizierung fehl und Citrix Provisioning greift auf die NTLM-Authentifizierung zurück.

Der Citrix Provisioning-SOAP-Dienst wird bei jedem Dienststart registriert und die Registrierung wird beim Anhalten des Diensts aufgehoben. Die Registrierung schlägt fehl, wenn das Dienstbenutzerkonto keine Berechtigungen hat. In der Standardeinstellung haben das Netzwerkdienstkonto und die Domänenadministratoren Berechtigungen; ein normales Domänenbenutzerkonto hat keine Berechtigungen.

Sie vermeiden dieses Problem mit einer der folgenden Vorgehensweisen:

  • Verwenden Sie ein anderen Konto, das SPNs erstellen kann.

  • Weisen Sie dem Dienstkonto Berechtigungen zu.

||| |Kontotyp|Berechtigung| |—|—| |Computerkonto|Schreibrechte für geprüften SPN| |Benutzerkonto|Schreibrechte für öffentliche Informationen|

Vorbereitungen zur Installation