インストール前の作業
Citrix Provisioningをインストールして構成する前に、以下のタスクを完了します。
重要:
Citrix Provisioningコンポーネントをインストールする前に、すべてのWindows更新プログラムが最新であることを確認してください。CitrixではすべてのWindows更新プログラムをインストールしてから再起動することをお勧めします。
Microsoft SQLデータベースの選択と構成
1つのファームに複数のデータベースを関連付けることはできません。次のどちらかにCitrix Provisioningデータベースをインストールできます。
- 既存のSQL Serverデータベースマシン:ファーム内のすべてのProvisioningサーバーと通信できる必要があります。
- 新しいSQL Server Expressデータベースマシン:Microsoftが無償で提供する、SQL Server Expressを使用してインストールします。
実稼働環境では、負荷分散のパフォーマンス低下を回避するため、データベースとCitrix Provisioningサーバーソフトウェアを異なるサーバーにインストールすることをお勧めします。
データベース管理者が空のCitrix Provisioningデータベースを作成できます。この場合は、Microsoft SQL Serverのデータベース管理者にDbScript.exeユーティリティで新しく作成されたファイルを提供します。このユーティリティはプロビジョニングソフトウェアとともにインストールされます。
ヒント:
詳しくは、「How to Manually Create a Database for Provisioning Services 」を参照してください。
データベースのサイズ評価
データベースのサイズ見積もりについて詳しくは、「Estimate the Size of a Database」を参照してください。
データベースの作成時には、初期サイズとして20MB、拡張サイズとして10MBが設定されます。データベースログの初期サイズは10MBで拡張サイズは10%です。
基本データに必要な容量は112KBで、このサイズは変更されません。基本イメージには以下の項目が含まれます:
- DatabaseVersionレコード。約32KBが必要です
- Farmレコード。約8KBが必要です
- DiskCreateレコード。約16KBが必要です
- Notifications。約40KBが必要です
- ServerMappedレコード。約16KBが必要です
オブジェクトに基づいて必要な容量は次のようになります。
- アクセスとグループ
- システムにアクセス権を持つ各ユーザーグループに約50KBが必要です。
- 各Siteレコードに約4KBが必要です
- 各コレクションに約10KBが必要です
- FarmView
- 各FarmViewに約4KBが必要です
- 各FarmView/Deviceリレーションシップに約5KBが必要です
- SiteView
- 各SiteViewに約4KBが必要です
- 各SiteView/Deviceリレーションシップに約5KBが必要です
- ターゲットデバイス
- 各ターゲットデバイスに約2KBが必要です
- 各
DeviceBootstrapに約10KBが必要です - 各
Device:Diskのリレーションシップに約35KBが必要です - 各
DevicePersonalityに約1KBが必要です - デバイスの起動時の各
DeviceStatusに約1KBが必要です - 各
DeviceCustomPropertyに約2KBが必要です
- ディスク
- 各一意のディスクに約1KBが必要です
- 各
DiskVersionに約3KBが必要です - 各
DiskLocatorに約10KBが必要です - 各
DiskLocatorCustomPropertyに約2KBが必要です
- Provisioningサーバー
- 各サーバーに約5KBが必要です
- 各
ServerIPに約2KBが必要です - サーバーの起動時の各
ServerStatusに約1KBが必要です - 各
ServerCustomPropertyに約2KBが必要です
- ストア
- 各Storeに約8KBが必要です
- 各Store:Serverリレーションシップに約4KBが必要です
- ディスク更新
- 各
VirtualHostingPoolに約4KBが必要です - 各
UpdateTaskに約10KBが必要です - 各
DiskUpdateDeviceに約2KBが必要です - 各
DiskUpdateDevice:Diskリレーションシップに約35KBが必要です - 各
Disk:UpdateTaskのリレーションシップに約1KBが必要です
- 各
変更が発生するにつれて大きくなるレコードは以下のとおりです。
- 各タスク処理(例:仮想ディスクバージョンのマージ)に約2KBが必要です。
- 監査機能が有効な場合、Citrix Provisioningコンソール、MCLI、またはPowerShellインターフェイスで管理者が加える変更ごとに、約1KBが必要です。
データベースのミラーリング
Citrix ProvisioningでMicrosoft SQL Serverのデータベースミラーリングをサポートするには、データベースを 監視付きの高い安全性モード(同期) で構成する必要があります。
データベースミラーリング機能を使用する場合は、サーバーにSQL Native Clientが必要です。SQL Native Clientが存在しない場合は、SQLのインストール時にSQLネイティブクライアントx64またはx86のインストールオプションが表示されます。
データベースのミラーリングの構成および使用方法について詳しくは、「データベースのミラーリング」を参照してください。
データベースのクラスター化
データベースのクラスター化を実装するには、Microsoft社の手順に従い、さらにCitrix Provisioning構成ウィザードを実行します。クラスター化したサーバーはウィザードにより単一のSQL Serverとして認識されるため、これ以上の手順は不要です。
認証の構成
Citrix Provisioningでは、データベースへのアクセスにWindows認証が使用されます。構成ウィザードの実行時を除き、Microsoft SQL Server認証はサポートされません。
構成ウィザードのユーザーアクセス許可
構成ウィザードを実行するユーザーには、Microsoft SQL Serverの次のアクセス許可が必要です。
-
dbcreator:データベースの作成に必要です -
securityadmin:Stream ServiceとSOAP ServerのSQLログインの作成に必要です
テスト環境でMicrosoft SQL Expressを使用する場合は、構成ウィザードを実行するユーザーにsysadmin特権(データベースの最高レベル)を与えることを選択できます。
データベース管理者がDbScript.exeユーティリティを実行して空のデータベースを作成した場合は、構成ウィザードを実行するユーザーはそのデータベースの所有者であり、VIEW ANY DEFINITION権限を持っている必要があります。この権限は、データベース管理者が空のデータベースを作成するときに設定します。
サービスアカウントの権限
Stream ServiceとSOAP Serverのユーザーコンテキストには次のデータベースアクセス許可が必要です。
db\_datareaderdb\_datawriter- ストアドプロシージャのEXECUTE権限
構成ウィザードでは、Stream ServiceとSOAP ServerのユーザーアカウントにDatareaderおよびDatawriterのデータベース役割が自動的に構成されます。ユーザーがsecurity adminアクセス許可を持っている場合は、構成ウィザードによりこれらのアクセス許可が割り当てられます。さらに、サービスユーザーには次のシステム特権が必要です。
- サービスとして実行する
- レジストリの読み取りアクセス
- Program Files\Citrix\Citrix Provisioningへのアクセス
- すべての仮想ディスクの場所への読み取りおよび書き込みアクセス
Stream ProcessおよびSOAP Serverを実行するアカウントを、以下のアカウントから選択します。
-
Network Serviceアカウント
最小限の特権を持つローカルアカウントで、ドメインコンピューターアカウントとしてネットワーク上で認証を受けるアカウントです。
-
指定ユーザーアカウント(Windows共有を使用する場合に必要)で、ワークグループまたはドメインのユーザーアカウントにできます。
Citrix Provisioningでキーマネージメントサーバーライセンスをサポートするには、SOAP ServerのユーザーアカウントがローカルのAdministratorsグループのメンバーである必要があります。
ヒント:
ワークグループ環境では認証はあまり使用されないため、最小限の特権を持つユーザーアカウントを各サーバーに作成し、各インスタンスで資格情報を同一にする必要があります。
このファームで使用する適切なセキュリティオプションを決定します。ファームごとに選択できるオプションは1つのみであり、ここで選択したオプションは役割に基づく管理機能に反映されます。セキュリティのオプションには以下があります:
-
セキュリティ保護にActive Directoryグループを使用する(デフォルト):Active Directoryが動作するWindowsドメインにインストールする場合はこのオプションをクリックします。このオプションでは、Citrix Provisioningの管理役割の割り当てにActive Directoryを利用できます。
注:
Windows 2000のドメインはサポートされません。
-
セキュリティ保護にWindowsグループを使用する。単一のサーバーまたはワークグループにインストールする場合はこのオプションをクリックします。このオプションでは、Citrix Provisioningの管理役割の割り当てに特定サーバー上のローカルユーザーまたはグループを利用できます。
コンソールユーザーは直接データベースにアクセスしません。
その他のプロビジョニング機能に必要な最小限の権限は、次のとおりです:
- Citrix Virtual Apps and Desktopsインストールウィザード、ストリーム配信仮想マシンセットアップウィザード、およびImageUpdateサービス
- vCenter、SCVMM、およびXenServer(旧称Citrix Hypervisor)の最小限の権限
- 既存のCitrix Virtual Apps and Desktops Controllerの現在のユーザーの権限
- Citrix ProvisioningコンソールのユーザーアカウントがCitrix Virtual Apps and Desktops管理者として構成されていて、Provisioning
SiteAdminまたはそれより上位のグループに追加されている - コンソールでアカウントを作成するActive Directory作成アカウント権限。既存のアカウントを使用するには、選択する既知の組織単位にActive Directoryアカウントが存在している必要があります。
- ADアカウント同期:作成、リセット、および削除のアクセス許可
- 仮想ディスク:ボリュームの保守タスクを実行する特権
注:
サービスアカウントに特別なAD権限は必要ありません。
Kerberosセキュリティ
Active Directory環境でSOAP Serviceと通信するとき、Citrix Provisioningコンソール、イメージ作成ウィザード、PowerShellスナップイン、およびMCLIでは、デフォルトでKerberos認証が使用されます。Kerberosアーキテクチャの一部として、サービスはドメインコントローラー(Kerberosキー配布センター)に登録される、つまりSPN(Service Principal Name:サービスプリンシパル名)が作成されます。この登録処理により、SOAP Serviceを実行するアカウントをActive Directoryで識別できるようになるため、この処理は不可欠です。登録処理を実行しないとKerberos認証に失敗し、Citrix ProvisioningはNTLM認証にフォールバックします。
Citrix ProvisioningのSOAP Serviceは、サービスを開始するたびに登録され、サービスを停止するたびに登録が解除されます。ただし、SOAP Serverのユーザーアカウントに権限がない場合、登録に失敗します。デフォルトでは、Network Serviceアカウントとドメイン管理者にはアクセス許可がありますが、通常のドメインユーザーアカウントにはありません。
この権限の問題の発生を防ぐには、次のいずれかを実行します。
-
アクセス許可を持つ別のアカウントを使用してSPNを作成します。
-
サービスを実行するアカウントに権限を割り当てます。
||| |アカウントの種類|権限| |—|—| |コンピューターアカウント|サービスプリンシパル名への検証された書き込み| |ユーザーアカウント|パブリックインフォメーションの書き込み|