Citrix Provisioning

Tareas anteriores a la instalación

Complete los procedimientos siguientes antes de instalar y configurar Citrix Provisioning.

Importante:

Todas las actualizaciones de Windows deben estar actualizadas antes de instalar los componentes de Citrix Provisioning. Citrix recomienda reiniciar después de instalar todas las actualizaciones de Windows.

Seleccionar y configurar la base de datos SQL de Microsoft

Solamente es posible asociar una base de datos a una comunidad. Puede instalar el software de la base de datos de Citrix Provisioning en:

  • Una base de datos de SQL existente, si la máquina puede comunicarse con todos los servidores de aprovisionamiento en la comunidad.
  • Una máquina nueva con la base de datos de SQL Express, creada mediante SQL Express, que Microsoft ofrece de forma gratuita.

En un entorno de producción, se recomienda instalar la base de datos y el software del componente del servidor de Citrix Provisioning en servidores independientes, para evitar una distribución deficiente durante el equilibrio de carga.

El administrador de bases de datos puede crear una base de datos vacía de Citrix Provisioning. En este caso, proporcione el archivo recién creado mediante la utilidad DbScript.exe al administrador de bases de datos de MS SQL. Esta utilidad se instala con el software de aprovisionamiento.

Sugerencia:

Consulte Cómo crear manualmente una base de datos para Provisioning Services para obtener más información.

Estimar el tamaño de una base de datos

Para obtener información sobre el tamaño de las bases de datos, consulte Estimar el tamaño de una base de datos.

Cuando se crea la base de datos, el tamaño inicial es de 20 MB con un tamaño de expansión de 10 MB. El tamaño inicial del registro de base de datos es 10 MB con un tamaño de expansión del 10%.

La cantidad base de espacio requerido es de 112 KB. Se trata de un valor fijo que no cambia. La imagen base incluye lo siguiente:

  • El registro DatabaseVersion requiere aproximadamente 32 KB.
  • El registro Farm requiere aproximadamente 8 KB.
  • El registro DiskCreate requiere aproximadamente 16 KB.
  • El registro Notifications requiere aproximadamente 40 KB.
  • El registro ServerMapped requiere aproximadamente 16 KB.

A continuación, se presenta la cantidad de espacio necesario, que es variable y se basa en objetos:

  • Acceso y agrupaciones (cada uno)
    • Un grupo de usuarios con acceso al sistema requiere aproximadamente 50 KB.
    • Un registro de sitio requiere aproximadamente 4 KB.
    • Una colección requiere aproximadamente 10 KB.
  • FarmView (cada uno)
    • FarmView requiere aproximadamente 4 KB.
    • Una relación FarmView/Device requiere aproximadamente 5 KB.
  • SiteView (cada uno)
    • SiteView requiere aproximadamente 4 KB.
    • Una relación SiteView/Device requiere aproximadamente 5 KB.
  • Dispositivo de destino (cada uno)
    • Un dispositivo de destino requiere aproximadamente 2 KB.
    • DeviceBootstrap requiere aproximadamente 10 KB
    • La relación Device:Disk requiere aproximadamente 35 KB
    • DevicePersonality requiere aproximadamente 1 KB
    • DeviceStatus cuando un dispositivo arranca requiere aproximadamente 1 KB.
    • DeviceCustomProperty requiere aproximadamente 2 KB
  • Disco (cada uno)
    • Un disco exclusivo requiere aproximadamente 1 KB.
    • DiskVersion requiere aproximadamente 3 KB
    • DiskLocator requiere aproximadamente 10 KB
    • DiskLocatorCustomProperty requiere aproximadamente 2 KB
  • Servidor de aprovisionamiento (cada uno)
    • Un servidor requiere aproximadamente 5 KB.
    • ServerIP requiere aproximadamente 2 KB
    • ServerStatus cuando un servidor arranca requiere aproximadamente 1 KB.
    • ServerCustomProperty requiere aproximadamente 2 KB
  • Almacén (cada uno)
    • Un almacén requiere aproximadamente 8 KB.
    • Una relación Store:Server requiere aproximadamente 4 KB.
  • Actualización de disco (cada una)
    • VirtualHostingPool requiere aproximadamente 4 KB
    • UpdateTask requiere aproximadamente 10 KB
    • DiskUpdateDevice requiere aproximadamente 2 KB
    • Cada relación DiskUpdateDevice:Disk requiere aproximadamente 35 KB
    • La relación Disk:UpdateTask requiere aproximadamente 1 KB

Los siguientes cambios provocan que los requisitos de tamaño aumenten:

  • Cada tarea procesada (por ejemplo: la fusión de los controles de versiones de disco virtual) requiere aproximadamente 2 KB.
  • Si la auditoría está activada, cada cambio que realiza el administrador en la interfaz de PowerShell, MCLI o la consola de Citrix Provisioning requiere aproximadamente 1 KB.

Crear imágenes reflejo de la base de datos

Para que Citrix Provisioning pueda ofrecer la función de imagen reflejo de base de datos de MS SQL, la base de datos debe estar configurada con la opción High-safety mode with a witness (synchronous).

Al usar la función Database Mirroring, se requiere el cliente nativo de SQL en el servidor. Si el cliente nativo de SQL no existe, se presenta la opción de instalar SQL Native Client x64 o x86 cuando se instala SQL.

Para obtener información acerca de cómo configurar y utilizar la imagen reflejo de base de datos, consulte Crear imágenes reflejo de la base de datos.

Agrupar la base de datos en clústeres

Para implementar una agrupación en clústeres de bases de datos, siga las instrucciones de Microsoft y, a continuación, ejecute Citrix Provisioning Configuration Wizard. No es necesario realizar pasos adicionales porque el asistente considera el clúster como un único servidor SQL Server.

Configurar la autenticación

Citrix Provisioning utiliza la autenticación de Windows para acceder a la base de datos. La autenticación de Microsoft SQL Server solo es compatible con Configuration Wizard.

Permisos de usuario de Configuration Wizard

Se requieren los siguientes permisos de MS SQL para el usuario que ejecuta Configuration Wizard:

  • dbcreator para crear la base de datos
  • securityadmin para crear inicios de sesión de SQL para los servicios Stream y SOAP

Si se utiliza MS SQL Express en un entorno de prueba, puede optar por conceder privilegios de sysadmin, el nivel más alto para la base de datos, al usuario que ejecuta Configuration Wizard.

Como alternativa, si el administrador de bases de datos ha creado una base de datos vacía mediante la utilidad DbScript.exe, el usuario que ejecuta el asistente Configuración Wizard debe ser el propietario de la base de datos. Además, este usuario debe tener el permiso View any definition. El administrador de bases de datos es quien configura este permiso cuando se crea la base de datos vacía.

Permisos de cuenta de servicio

El contexto de usuario para los servicios Stream y SOAP requiere los siguientes permisos de base de datos:

  • db\_datareader
  • db\_datawriter
  • Ejecute permisos en los procedimientos almacenados

Los roles de base de datos DataReader y DataWriter se configuran automáticamente para la cuenta de usuario de los servicios Stream y SOAP mediante Configuration Wizard. Este último asigna estos permisos siempre y cuando el usuario disponga de permisos de administrador de seguridad. Además, el usuario de servicio debe disponer de los siguientes privilegios del sistema:

  • Ejecutar como servicio
  • Acceso de lectura al Registro
  • Acceso a Archivos de programa\Citrix\Citrix Provisioning
  • Acceso de lectura y escritura a cualquier ubicación de disco virtual

Determine en cuáles de las siguientes cuentas de usuario compatibles se ejecutan los servicios Stream y SOAP:

  • Network service account

    Cuenta local con privilegios mínimos que se autentica en la red como una cuenta de máquina de dominio de los equipos

  • Specified user account (se requiere cuando se utiliza un recurso compartido de Windows Share) que puede ser una cuenta de usuario de dominio o un grupo de trabajo

Para poder admitir las licencias KMS, la cuenta de usuario del servidor SOAP debe ser miembro del grupo de administradores locales.

Sugerencia:

Como la autenticación no es habitual en los entornos de grupos de trabajo, es necesario crear cuentas de usuario con privilegios mínimos en cada servidor y cada instancia debe contener credenciales idénticas.

Debe determinar la opción de seguridad adecuada para esta comunidad de servidores. Solo es posible seleccionar una opción por comunidad y la selección realizada afecta a la administración basada en roles. Para las opciones de seguridad:

  • Use Active Directory groups for security (opción predeterminada): Seleccione esta opción si se encuentra en un dominio de Windows que ejecuta Active Directory. Esta opción permite utilizar Active Directory para los roles de administración de Citrix Provisioning.

    Nota:

    No se admiten los dominios Windows 2000.

  • Use grupos de Windows para la seguridad. Seleccione esta opción si se encuentra en un solo servidor o en un grupo de trabajo. Esta opción permite utilizar el usuario local o los grupos locales de ese servidor para los roles de administración de Citrix Provisioning.

Los usuarios de la consola no pueden acceder directamente a la base de datos.

Los permisos mínimos requeridos para la funcionalidad adicional de aprovisionamiento son:

  • Citrix Virtual Apps and Desktops Setup Wizard, Streamed VM Setup Wizard y el servicio ImageUpdate
    • Permisos mínimos de vCenter, SCVMM y XenServer (anteriormente Citrix Hypervisor)
    • Permisos para el usuario actual en un Controller de Citrix Virtual Apps and Desktops existente
    • Una cuenta de usuario de la consola de Citrix Provisioning configurada como un administrador de Citrix Virtual Apps and Desktops y agregada a un grupo SiteAdmin o superior
    • Permiso para crear cuentas de Active Directory con el que crear cuentas en la consola. Para utilizar cuentas existentes, es necesario que ya existan cuentas de Active Directory en una OU conocida para su selección
  • Sincronización de cuentas de AD: Crear, restablecer y eliminar permisos
  • Disco virtual: Privilegios para ejecutar tareas de mantenimiento de volumen

Nota:

Las cuentas de servicio no requieren permisos de AD especiales.

Seguridad de Kerberos

De forma predeterminada, la consola de Citrix Provisioning, Imaging Wizard, el complemento de PowerShell y MCLI utilizan la autenticación Kerberos al comunicarse con el servicio SOAP en un entorno de Active Directory. Una parte de la arquitectura de Kerberos se utiliza para el registro de servicios (se crea un nombre principal de servicio, SPN) con el controlador de dominio (Centro de distribución de claves Kerberos). El registro es fundamental, ya que permite a Active Directory identificar la cuenta que ejecuta el servicio SOAP. Si no se realiza el registro, se producirá un error en la autenticación Kerberos y Citrix Provisioning volverá a utilizar la autenticación NTLM.

El servicio SOAP de Citrix Provisioning se registra cada vez que se inicia el servicio y cancela el registro cuando se detiene el servicio. Sin embargo, el registro falla si la cuenta de usuario del servicio no tiene el permiso necesario. De forma predeterminada, la cuenta de servicio de red y los administradores de dominio disponen de un permiso, mientras que las cuentas de usuario de dominio normales no.

Para solucionar este problema de permisos, realice una de las siguientes acciones:

  • Utilice una cuenta diferente que contenga permisos para crear SPN.

  • Asigne permisos a la cuenta de servicio.

||| |Tipo de cuenta|Permiso| |—|—| |Cuenta de equipo|Escribir SPN validado| |Cuenta de usuario|Escribir información pública|

Tareas anteriores a la instalación