Vorbereitungen zur Installation
Vor der Installation und Konfiguration von Citrix Provisioning führen Sie die folgenden Aufgaben aus.
Wichtig : Installieren Sie alle aktuellen Windows-Updates, bevor Sie Citrix Provisioning-Komponenten installieren. Citrix empfiehlt, dass Sie nach der Installation aller Windows-Updates einen Neustart ausführen.
Microsoft SQL-Datenbank auswählen und konfigurieren
Jede Citrix Provisioning-Farm hat eine einzige Datenbank. Sie können die Datenbank folgendermaßen bereitstellen:
- Auf einer vorhandenen SQL Server- oder SQL Server Express-Instanz
- Auf einem neuen Server mit SQL Server oder SQL Server Express
- Neue oder bestehende Azure SQL-Datenbank-Instanz
Alle Citrix Provisioning-Server in einer Farm müssen mit dem Datenbankserver kommunizieren können.
In einer Produktionsumgebung empfiehlt es sich, die SQL Server- bzw. SQL Server Express-Instanz und die Citrix Provisioning-Serversoftware auf separaten Servern zu installieren, um eine schlechte Verteilung beim Lastausgleich zu vermeiden.
Es gibt drei Möglichkeiten, die Datenbank zu erstellen:
- Verwenden Sie den Konfigurationsassistenten. Hierfür benötigen Sie eine
dbcreator
-Berechtigung. - Wenn Sie keine Berechtigung zum Erstellen von Datenbanken haben, verwenden Sie das Dienstprogramm DbScript.exe, um ein SQL-Skript zu erstellen, das ein Datenbankadministrator zum Erstellen der Provisioning-Datenbank ausführen kann. Dieses Hilfsprogramm wird mit der Provisioning-Software erstellt.
- Wenn der Datenbankadministrator eine leere Datenbank mit dem Dienstprogramm DbScript.exe erstellt, wird diese beim Ausführen des Konfigurationsassistenten als Datenbank für die neue Farm ausgewählt. Die Anmeldung, die beim Ausführen des Konfigurationsassistenten verwendet wird, muss der Besitzer der Datenbank sein. Darüber hinaus muss das Benutzerkonto über die Berechtigung View any definition verfügen. Diese Berechtigung wird vom Datenbankadministrator beim Erstellen der leeren Datenbank festgelegt.
Führen Sie das Dienstprogramm DbScript.exe aus, um die Datenbank zu erstellen oder zu aktualisieren
Wenn Sie keine Berechtigung zum Erstellen von Datenbanken haben, erstellen Sie mit DbScript.exe ein SQL-Skript, das der Datenbankadministrator zum Erstellen oder Aktualisieren der Citrix Provisioning-Datenbank ausführen kann. Führen Sie das Skript über die Windows-Eingabeaufforderung in C:\Program Files\Citrix\Provisioning Services
aus.
Verwenden Sie die folgende Syntax, um das Skript zum Erstellen der Datenbank zu generieren:
- SQL Server und SQL Server Express:
DbScript.exe -new <databaseName> <farmName> <siteName> <collectionName> <farmAdminGroup> <adGroupsEnabled> <scriptName> <is2012orHigher>
- Azure SQL-Database:
DbScript.exe -newForAzSqlDb <databaseName> <farmName> <siteName> <collectionName> <farmAdminGroup> <adGroupsEnabled> <scriptName> <is2012orHigher>
Beim Erstellen einer neuen Datenbank für Azure SQL Database erstellt DbScript nicht eine, sondern zwei Skriptdateien.
- Das erste Skript wird in die Masterdatenbank ausgeführt und erstellt die neue Datenbank.
- Das zweite Skript wird dann in der neuen Datenbank ausgeführt.
Geben Sie Folgendes ein, um das Skript zum Aktualisieren der Datenbank zu generieren:
DbScript.exe -upgrade <databaseName> <scriptName>
Die Befehle verwenden die folgenden Argumente:
-
<databaseName>
— Name der zu aktualisierenden Datenbank -
<farmName>
— Farmname für die Datenbank -
<siteName>
— Sitename für die Datenbank -
<collectionName>
— Sammlungsname für die Datenbank -
<farmAdminGroup>
— Farmadministratorgruppe, angegeben als vollständiger PfadHinweis:
Wenn Sie den Konfigurationsassistenten ausführen, müssen Sie Mitglied dieser Gruppe (einer Active Directory-Gruppe) sein, um die Citrix Provisioning-Server zur Datenbank hinzuzufügen.
-
<adGroupsEnabled>
— Aktiviert oder deaktiviert AD-Gruppen, als boolescher Wert festgelegt, wobeitrue
AD-Gruppen aktiviert undfalse
AD-Gruppen deaktiviert -
<scriptName>
— Name des zu generierenden Skripts, angegeben als vollständiger Pfad -
<is2012orHigher>
— veraltet. Verwenden Sietrue
.
Beispiele für DbScript.exe
In diesem Beispiel wird ein Skript zum Erstellen einer leeren Citrix Provisioning-Datenbank mit dem Namen db1-2
generiert. Das Skript namens newDb.sql befindet sich in C:
.
C:\Program Files\Citrix\Provisioning Services> DbScript.exe -new db1-2 Farm1 Site1 Collection1 "test.local/Users/Domain Users" true c:\newDb.sql true
In diesem Beispiel wird ein Skript zum Aktualisieren der Citrix Provisioning-Datenbank test1
generiert. Das Skript namens upgrade.sql befindet sich, da kein Pfad angegeben ist, in dem Verzeichnis, in dem das Skript ausgeführt wurde (C:\Program Files\Citrix\Provisioning Services
).
C:\Program Files\Citrix\Provisioning Services>DbScript.exe -upgrade test1 upgrade.sql
Datenbankgröße
Weitere Informationen finden Sie unter Datenbankgröße.
Beim Erstellen der Datenbank ist die Größe 20 MB und der Zuwachs 10 MB. Die anfängliche Größe des Datenbankprotokolls ist 10 MB und der Zuwachs 10 %.
Der Basiswert für den erforderlichen Speicherplatz ist 112 KB, und der Wert ändert sich nicht. Das Basisimage umfasst Folgendes:
- DatabaseVersion-Datensatz benötigt ca. 32 KB
- Farmdatensatz benötigt ca. 8 KB
- DiskCreate-Datensatz benötigt ca. 16 KB
- Benachrichtigungen benötigen ca. 40 KB
- ServerMapped-Datensatz benötigt ca. 16 KB
Basierend auf Objekten ist der variable Wert für den erforderlichen Speicherplatz wie folgt:
- Zugriff und Gruppierungen (pro Objekt)
- Benutzergruppe, die Systemzugriff hat, benötigt ca. 50 KB
- Sitedatensatz benötigt ca. 4 KB
- Eine Sammlung benötigt ca. 10 KB
- FarmView (jeweils)
- FarmView benötigt ca. 4 KB
- FarmView/Device-Beziehung benötigt ca. 5 KB
- SiteView (jeweils)
- SiteView benötigt ca. 4 KB
- SiteView/Device-Beziehung benötigt ca. 5 KB
- Zielgerät (jeweils)
- Zielgerät benötigt ca. 2 KB
-
DeviceBootstrap
benötigt ca. 10 KB -
Device:Disk
-Beziehung benötigt ca. 35 KB -
DevicePersonality
benötigt ca. 1 KB -
DeviceStatus
beim Starten eines Geräts benötigt ca. 1 KB -
DeviceCustomProperty
benötigt ca. 2 KB
- Datenträger (jeweils)
- Eindeutiger Datenträger benötigt ca. 1 KB
-
DiskVersion
benötigt ca. 3 KB -
DiskLocator
benötigt ca. 10 KB -
DiskLocatorCustomProperty
benötigt ca. 2 KB
- Provisioning-Server (jeweils)
- Server benötigt ca. 5 KB
-
ServerIP
benötigt ca. 2 KB -
ServerStatus
beim Starten eines Servers benötigt ca. 1 KB -
ServerCustomProperty
benötigt ca. 2 KB
- Store (jeweils)
- Store benötigt ca. 8 KB
- Store:Serverbeziehung benötigt ca. 4 KB
- Datenträgerupdate (jeweils)
-
VirtualHostingPool
benötigt ca. 4 KB -
UpdateTask
benötigt ca. 10 KB -
DiskUpdateDevice
benötigt ca. 2 KB - Jede
DiskUpdateDevice:Disk
-Beziehung benötigt ca. 35 KB -
Disk:UpdateTask
-Beziehung benötigt ca. 1 KB
-
Die folgenden Änderungen führen zur Zunahme der Speicherplatzanforderungen:
- Jede verarbeitete Aufgabe (Beispiel: Versionszusammenführung für virtuelle Datenträger) benötigt ca. 2 KB
- Wenn die Überwachung aktiviert ist, benötigt jede vom Administrator in der Citrix Provisioning-Konsole, in MCLI oder in der PowerShell-Oberfläche ausgeführte Änderung ca. 1 KB
Datenbankspiegelung
Damit Citrix Provisioning die MS SQL-Datenbankspiegelung unterstützt, muss die Datenbank mit der Option High-safety mode with a witness (synchronous) konfiguriert werden.
Weitere Informationen zum Konfigurieren und Verwenden der Datenbankspiegelung finden Sie unter Datenbankspiegelung.
Implementieren des Datenbankclusterings
Gehen Sie zum Implementieren des Datenbankclusterings folgendermaßen vor:
- Folgen Sie den Anweisungen von Microsoft.
- Führen Sie den Citrix Provisioning-Konfigurationsassistenten aus.
- Geben Sie den Listener für Verfügbarkeitsgruppen als Datenbankserver an. Es wird keine Instanz verwendet.
- Aktivieren Sie Multi-Subnet Failover in den Verbindungsoptionen.
Unterstützte Authentifizierungstypen
Anhand der Tabelle können Sie festlegen, wie und mit welchen Anmeldeinformationen sich Citrix Provisioning bei der Datenbank authentifizieren soll.
Authentifizierungstyp | Gewährt Zugriff für | Erforderliche Anmeldeinformationen | Datenbankplattform | Beschränkungen |
---|---|---|---|---|
Active Directory-integriert | Active Directory-Benutzer. Erstellen Sie den Benutzernamen in Active Directory, wenn Sie keinen bestehenden verwenden möchten. | Nichts (aktueller Anmeldekontext wird verwendet) | SQL Server | Der Citrix Provisioning-Server muss zu einer Domäne gehören, der Citrix Provisioning Service-Benutzerkontext muss ein Domänenbenutzer sein und Citrix Provisioning muss von einem Domänenbenutzer konfiguriert werden. |
SQL Server | SQL-Anmeldung. Erstellen Sie eine SQL-Anmeldung auf dem Datenbankserver, wenn Sie keine vorhandene verwenden möchten. | Anmeldung und Kennwort | SQL Server und Azure SQL Database |
Hinweis:
Informationen zu den unterstützten Authentifizierungstypen für Citrix Provisioning in Azure finden Sie unter Unterstützte Authentifizierungstypen für Citrix Provisioning in Azure.
Authentifizierung konfigurieren
Citrix Provisioning kann die Authentifizierung Active Directory Integrated oder SQL Server verwenden, um auf die Datenbank zuzugreifen.
Benutzerberechtigungen für den Konfigurationsassistenten
Sie benötigen die Systemberechtigung eines lokalen Administrators, um den Konfigurationsassistenten ausführen zu können.
Admindatenbankprinzipal ist der Datenbankprinzipal, der vom Konfigurationsassistenten zum Erstellen und Einrichten der Provisioning-Datenbank verwendet wird. Die Authentifizierungsanmeldeinformationen, die Sie im Konfigurationsassistenten angeben, identifizieren den Datenbankprinzipal.
- Wenn Sie die Authentifizierung Active Directory Integrated wählen, greift der Konfigurationsassistent mit dem Benutzerkonto auf die Datenbank zu, das den Konfigurationsassistenten ausführt (ein Active Directory-Benutzer).
- Wenn Sie SQL Server-Authentifizierung auswählen, greift der Konfigurationsassistent als anderer Prinzipal auf die Datenbank zu.
Weitere Informationen zur Auswahl eines Admindatenbankprinzipals finden Sie unter Unterstützte Authentifizierungstypen.
Hinweis:
Der Admindatenbankprinzipal wird nur beim Ausführen des Konfigurationsassistenten verwendet. Er wird nicht gespeichert und nicht von den Stream- und SOAP-Diensten verwendet. Sie müssen einen Prinzipal mit erhöhten Rechten für Stream- und SOAP-Dienste verwenden.
-
Für SQL Server benötigt der Admindatenbankprinzipal die folgenden Berechtigungen:
-
securityadmin
zum Erstellen und Aktualisieren von Serveranmeldungen (für SQL Server) -
db_owner
für jede bestehende Datenbank
-
Um eine Datenbank für eine neue Farm zu erstellen, benötigt der Admindatenbankprinzipal dbcreator
als zusätzliche Berechtigung. Informationen zu Möglichkeiten zum Erstellen der Datenbank finden Sie unter Auswählen und Konfigurieren der Microsoft SQL-Datenbank.
-
Für eine Azure SQL-Datenbank braucht der Admindatenbankprinzipal die folgenden Berechtigungen:
-
loginmanager
zum Erstellen und Aktualisieren von Serveranmeldungen -
db_owner
für jede bestehende Datenbank
Um eine Datenbank für eine neue Farm zu erstellen, benötigt der Admindatenbankprinzipal
dbmanager
als zusätzliche Berechtigung.loginmanager
unddbmanager
sind spezielle Benutzerrollen, die Benutzern in der Masterdatenbank zugewiesen werden. -
Dienstkontoberechtigungen
Das Dienstkonto für die Stream- und SOAP-Dienste muss die folgenden Systemberechtigungen haben:
- Als Dienst ausführen
- Lesezugriff auf die Registrierung
- Zugriff auf
Program Files\Citrix\Citrix Provisioning
- Lese-/Schreibzugriff auf jeden Speicherort virtueller Datenträger
Der Dienstdatenbankprinzipal ist der Datenbankprinzipal, der von den Diensten für den Zugriff auf die Bereitstellungsdatenbank verwendet wird. Die Authentifizierungsanmeldeinformationen, die Sie im Konfigurationsassistenten angeben, identifizieren den Datenbankprinzipal.
- Wenn Sie die Authentifizierung Active Directory Integrated wählen, greifen die Dienste als Dienstkonto auf die Datenbank zu (ein Active Directory-Benutzer).
- Wenn Sie die SQL Server-Authentifizierung wählen, können die Dienste als ein anderer Prinzipal auf die Datenbank zugreifen.
Weitere Informationen zur Auswahl eines Dienstdatenbankprinzipals finden Sie unter Unterstützte Authentifizierungstypen.
Der Konfigurationsassistent konfiguriert die Datenbank damit der Dienstdatenbankprinzipal die folgenden Berechtigungen hat:
db_datareader
db_datawriter
- Ausführungsberechtigungen für gespeicherte Prozeduren
Legen Sie fest, unter welchen der folgenden unterstützten Benutzerkonten der Stream- und SOAP-Dienst ausgeführt werden soll:
-
Netzwerkdienstkonto:
Lokales Konto mit Mindestberechtigungen, das im Netzwerk als Domänenkonto des Computers authentifiziert wird.
-
Specified user account (erforderlich bei Verwendung einer Windows-Freigabe), das ein Arbeitsgruppen- oder Domänenbenutzerkonto sein kann.
Unterstützung für die KMS-Lizenzierung erfordert, dass das SOAP-Server-Benutzerkonto Mitglied der Gruppe lokaler Administratoren ist.
Tipp:
Da die Authentifizierung in Arbeitsgruppenumgebungen nicht üblich ist, müssen auf jedem Server Benutzerkonten mit Mindestberechtigungen erstellt werden und jede Instanz muss identische Anmeldeinformationen aufweisen.
Legen Sie die passende Sicherheitsoption für die Farm fest. Es kann nur eine Option pro Farm ausgewählt werden und die Auswahl wirkt sich auf die rollenbasierte Administration aus. Sicherheitsoptionen:
-
Use Active Directory groups for security: (Standard). Wählen Sie diese Option für eine Windows-Domäne, die Active Directory ausführt. Mit dieser Option können Sie Active Directory für die Citrix Provisioning-Administrationsrollen nutzen.
Hinweis:
Windows 2000-Domänen werden nicht unterstützt.
-
Use Windows groups for security. Wählen Sie diese Option für einen einzelnen Server oder in einer Arbeitsgruppe. Mit dieser Option können Sie die lokalen Benutzer/Gruppen auf diesem Server für Citrix Provisioning-Administrationsrollen nutzen.
Konsolenbenutzer greifen nicht direkt auf die Datenbank zu.
Zu den Mindestberechtigungen, die für zusätzliche Provisioning-Funktionalität benötigt werden, gehören u. a.:
- Citrix Virtual Apps and Desktops-Setupassistent, Setupassistent für gestreamte VMs und Imageupdatedienst
- Mindestberechtigungen für vCenter, SCVMM und Citrix Hypervisor
- Berechtigungen für den aktuellen Benutzer auf einem bestehenden Citrix Virtual Apps and Desktops-Controller
- Ein Citrix Provisioning-Konsolenbenutzerkonto, das als Citrix Virtual Apps and Desktops-Administrator konfiguriert ist und einer Provisioning-
SiteAdmin
-Gruppe oder höher hinzugefügt wurde - Active Directory-Berechtigung zum Erstellen von Konten, damit neue Konten in der Konsole erstellt werden können. Wenn Sie vorhandene Konten verwenden, müssen die Active Directory-Konten bereits in einer bekannten Organisationseinheit vorhanden sein, damit sie ausgewählt werden können.
- Active Directory-Kontosynchronisierung: Berechtigungen zum Erstellen, Zurücksetzen und Löschen
- Virtueller Datenträger: Privilegien zum Durchführen von Volumenwartungsaufgaben
Hinweis:
Für ein Dienstkonto sind keine besonderen AD-Berechtigungen erforderlich.
Aktivieren einer Remoteverbindung in SQL Server
Verwenden Sie die Informationen in diesem Abschnitt, um eine Remoteverbindung mit dem SQL-Server herzustellen.
- Melden Sie sich beim SQL-Server mit SQL Server Management Studio an.
-
Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf den SQL-Server und wählen Sie Eigenschaften:
- Wählen Sie im Fenster Objekt-Explorer den Knoten Verbindungen. Aktivieren oder deaktivieren Sie unter Remoteserververbindungen das Kontrollkästchen Remoteverbindungen mit diesem Server zulassen:
Nach dem Update der Remoteserververbindung:
- Klicken Sie im Startmenü auf Start > Microsoft SQL Server Version > SQL Server Version Configuration Manager. Das Fenster SQL Server-Konfigurations-Manager wird angezeigt.
- Erweitern Sie die Option SQL Server-Netzwerkkonfiguration. Wählen Sie Protokolle für (Ihr Servername). Wählen Sie TCP/IP und klicken Sie mit der rechten Maustaste. Wählen Sie im Kontextmenü die Option Aktivieren. Klicken Sie auf OK, um den Dienst neu zu starten.
Ändern Sie nach dem Neustart des Diensts den Startmodus. Im Fenster SQL Server-Konfigurations-Manager:
- Wählen Sie SQL Server-Dienste. Klicken Sie im rechten Bereich mit der rechten Maustaste auf die Option SQL Server-Browser, um ein Kontextmenü anzuzeigen.
- Wählen Sie Eigenschaften.
- Ändern Sie auf der Registerkarte Dienst den Startmodus in Automatisch.
- Klicken Sie auf OK.
- Wählen Sie den SQL Server-Browser und klicken Sie mit der rechten Maustaste, um ein Kontextmenü anzuzeigen. Klicken Sie auf Starten.
- Wählen Sie den SQL Server-Dienst, der der Instanz entspricht, und klicken Sie mit der rechten Maustaste, um ein Kontextmenü anzuzeigen. Klicken Sie auf Neu starten.
Erstellen einer Ausnahme für SQL Server in der Windows-Firewall
Verwenden Sie die Informationen in diesem Abschnitt, um eine Ausnahme für SQL Server in Umgebungen mit Windows-Firewall zu erstellen:
- Öffnen Sie die Systemsteuerung und wählen Sie System und Sicherheit.
-
Wählen Sie Windows Defender Firewall:
-
Klicken Sie auf Eine App oder ein Feature durch die Windows Defender Firewall zulassen. Aktivieren Sie die Windows-Firewall:
-
Klicken Sie im Fenster Kommunikation von Apps durch die Windows-Firewall zulassen auf Andere App zulassen…:
- Klicken Sie im Bildschirm App hinzufügen auf Durchsuchen.
-
Navigieren Sie zum SQL-Dienst
sqlserver.exe
und klicken Sie auf Öffnen. Der Standardpfad zusqlserver.exe
lautet:- SQL 2019 —
C:\Program Files\Microsoft SQL Server\MSSQL15.<SQL Instance Name>\MSSQL\Binn
- SQL 2017 —
C:\Program Files\Microsoft SQL Server\MSSQL14.<SQL Instance Name>\MSSQL\Binn
- SQL 2019 —
- Klicken Sie auf Hinzufügen:
- Wiederholen Sie die Schritte 4 bis 7 für
C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.
- Klicken Sie auf OK.
Schutz der Verbindung zwischen Provisioning-Server und SQL Server
SQL Server, der Lizenzserver und der Provisioning-Server können so konfiguriert werden, dass sie eine sichere Verbindung ermöglichen.
Verwenden Sie die Informationen in diesem Abschnitt, um eine sichere Verbindung mit dem SQL-Server herzustellen.
Führen Sie auf dem Computer mit SQL Server folgende Schritte aus:
- Beziehen Sie ein Serverzertifikat mit einem privaten Schlüssel zur Verwendung als Serverzertifikat für den SQL-Server. Sie können das Serverzertifikat von einer vertrauenswürdigen Stelle beziehen oder ein selbstsigniertes Zertifikat verwenden. Serverzertifikat und privater Schlüssel müssen in einer
.PFX
-Datei sein. Der CN muss der FQDN des Computers mit SQL Server sein. - Importieren Sie das Zertifikat und den Schlüssel in den Ordner mit den persönlichen Zertifikaten des lokalen Computer-Zertifikatspeichers auf dem Computer mit SQL Server.
- Erteilen Sie dem SQL-Server Zugriff auf das Zertifikat und den Schlüssel.
-
Gehen Sie folgendermaßen vor, um den SQL-Server zum Erzwingen sicherer Verbindungen zu konfigurieren.
- Führen Sie den SQL Server-Konfigurations-Manager aus.
- Wählen Sie links SQL Server Network Configuration > Protocols for instance.
- Klicken Sie mit der rechten Maustaste und wählen Sie Properties.
- Stellen Sie auf der Registerkarte Flags die Option Force Encryption auf Yesein.
- Wählen Sie auf der Registerkarte Certificate das Serverzertifikat aus der Dropdownliste aus. Wenn das Zertifikat nicht in der Liste enthalten ist, überprüfen Sie, ob es wie beschrieben importiert wurde.
- Klicken Sie auf OK und starten Sie den SQL Server-Dienst für die Instanz neu.
Auf dem Citrix Provisioning-Servercomputer:
- Stellen Sie die Zertifizierungsstellenzertifikate bereit, die für die Vertrauensstellung des Serverzertifikats erforderlich sind.
- Besteht keine Vertrauensstellung für die Zertifizierungsstelle:
- Beziehen Sie das Zertifizierungsstellenzertifikat.
- Importieren Sie es in den Ordner mit den vertrauenswürdigen Stammzertifizierungsstellen des Zertifikatsspeichers des lokalen Computers.
- Wenn das Serverzertifikat selbstsigniert ist:
- Exportieren Sie auf dem Computer mit SQL Server nur das Zertifikat in eine Zertifikatdatei.
- Kopieren Sie dieses Zertifikat auf den Citrix Provisioning-Servercomputer.
- Importieren Sie das Zertifikat in den Ordner mit den vertrauenswürdigen Stammzertifizierungsstellen des Zertifikatsspeichers des lokalen Computers.
- Besteht keine Vertrauensstellung für die Zertifizierungsstelle:
- Konfigurieren Sie den Provisioning-Server für die Verbindung mit dem SQL-Server unter dem im Zertifikat angegebenen Namen (= FQDN des SQL Server-Computers). Führen Sie bei Bedarf den Konfigurationsassistenten aus, um den Beitritt zur Farm zu wiederholen. Bei dieser Methode können Sie den Namen des Datenbankservers ändern.
Kerberos-Sicherheit
In der Standardeinstellung verwenden die Citrix Provisioning-Konsole, der Imagingassistent, das PowerShell-Snap-In und MCLI in einer Active Directory-Umgebung für die Kommunikation mit dem SOAP-Dienst die Kerberos-Authentifizierung. Im Rahmen der Kerberos-Architektur muss sich ein Dienst beim Domänencontroller (Kerberos Key Distribution Center) registrieren (ein SPN (Service Principal Name) erstellen). Die Registrierung ist wichtig, da Active Directory dann das Konto erkennen kann, unter dem der SOAP-Dienst ausgeführt wird. Wenn die Registrierung nicht durchgeführt wird, schlägt die Kerberos-Authentifizierung fehl und Citrix Provisioning greift auf die NTLM-Authentifizierung zurück.
Der Citrix Provisioning-SOAP-Dienst wird bei jedem Dienststart registriert und die Registrierung wird beim Anhalten des Diensts aufgehoben. Die Registrierung schlägt fehl, wenn das Dienstbenutzerkonto keine Berechtigungen hat. In der Standardeinstellung haben das Netzwerkdienstkonto und die Domänenadministratoren Berechtigungen; ein normales Domänenbenutzerkonto hat keine Berechtigungen.
Sie vermeiden dieses Problem mit einer der folgenden Vorgehensweisen:
-
Verwenden Sie ein anderen Konto, das SPNs erstellen kann.
-
Weisen Sie dem Dienstkonto Berechtigungen zu.
Kontotyp | Berechtigung |
---|---|
Computerkonto | Schreibrechte für geprüften SPN |
Benutzerkonto | Schreibrechte für öffentliche Informationen |