Citrix Provisioning

Microsoft AzureでのCitrix Provisioning

この記事では、オンプレミスハイパーバイザーで使用するのと同じプロビジョニングツールとポリシーを使用して、Citrix ProvisioningワークロードをAzure Cloudに移行する方法について説明します。

この機能には、Citrix Virtual Apps and Desktopsインストールウィザードのサポートが含まれます。既に知っている同じツールを使用して、Citrix Virtual Apps and DesktopsおよびCitrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)と統合できます。AzureサブスクリプションへのCitrix Provisioningのインストールは、オンプレミスのProvisioningファームへのインストールと同じです。

サポートされる機能

Azureでワークロードをプロビジョニングする際、次のCitrix Provisioning機能がサポートされます:

  • BDM起動パーティションを使用したAzure第2世代VMのUEFI起動。
  • 64ビットWindows 10、Windows 11(Standard Security Typeのみ)、 Windows 11 22H2、およびWindows Server 2016/2019/2022ターゲットVMのストリーミング
  • Citrix Virtual Apps and Desktopsインストールウィザードで、ターゲットVMをプロビジョニングし、それらをCitrix DaaSのカタログに追加します。
  • インポートウィザードを使用すると、手動でプロビジョニングしたVMをProvisioningサーバーにインポートできます。
  • エクスポートウィザードを使用すると、手動でプロビジョニングしたターゲットのCitrix DaaSでカタログを作成および更新できます。
  • AzureでマスターVMを作成して、Provisioningサーバーで使用される仮想ディスク(vDisk)のソースとして機能させます。
  • AzureマスターVMからvDiskを作成し、プロビジョニングバージョニングまたはリバースイメージ作成のいずれかを使用して更新します。
  • Citrix Image Portability Serviceを使用して、既存のイメージをAzureセットアップにインポートします。「CitrixIPS」を参照してください。
  • Citrix DaaS、プロビジョニングコンソール、Azure Portal、およびAzure APIからの、ターゲットの電源管理。
  • Azure SQL Database
  • Azure SQL Managed Instance
  • 次のいずれかを使用したActive Directoryサポート:

    • AzureにドメインコントローラーVMをインストールし、ExpressRoute接続を介してオンプレミスフォレストに接続することにより、オンプレミスフォレストと統合します。Microsoft AD Connect機能を介して、オンプレミスのADインフラストラクチャをAADテナントに接続できます。
    • AzureにドメインコントローラーVMをインストールして構成することにより、AzureにスタンドアロンのActive Directoryドメインを実装します。
    • Azure AD Domain Servicesは、Citrix Provisioningが使用できるAD環境を提供できます。AD Connectを使用して、オンプレミスフォレストをAzure ADテナントと同期し、完全に統合されたソリューションを提供できます。
  • 特定のアベイラビリティゾーンでターゲットを作成します。これを行うには、以下の手順に従います:

    1. ターゲットが使用するアベイラビリティゾーンごとに、そのゾーンに配置されるテンプレート仮想マシンを作成します。
    2. ゾーンごとに、そのゾーンのテンプレートを使用してCitrix Virtual Desktopsインストールウィザードを実行します。

制限事項

次の機能はサポートされません:

  • 32ビットオペレーティングシステム。
  • Windows Server 2012以前はサポートされません。
  • セキュア起動と信頼できる起動は、現在サポートされていません。
  • マスターVMとターゲットVMのPXEおよびISO起動(Azureがサポートしていないため)。
  • 第1世代(BIOS)VM。第2世代(UEFI)VMのみがサポートされます。
  • ストリーム配信仮想マシンインストールウィザード。
  • vDisk更新の管理。
  • 仮想ホスト接続ウィザード。
  • 自動追加ウィザード。
  • Citrix Provisioningが顧客管理のDelivery Controllerと統合されている場合、Citrix ProvisioningコンソールからのVM、カタログ、またはADアカウントの削除はサポートされていません。
  • プロビジョニングプロセスへのスクリプトアクセスを提供するCitrix Provisioning APIは、サポートされていません。
  • マスターVMの作成時に使用されるAzureマシンのサイズは、ターゲットVMの作成時に使用されるサイズと互換性がある必要があります。第2世代VMのみがサポートされます。基本データには、以下のレコードが含まれます:
    • 一時ディスクの有無は同じである必要があります
    • GPUの有無は同じである必要があります
  • テンプレートVM(ターゲットを作成するためのテンプレートとして使用されるVM)は、Citrix DaaSホスティングユニットに関連付けられたリージョンに存在する必要があります。したがって、このリリースでは、各リージョンにテンプレートVMを作成する必要があります。
  • ターゲットVMの起動ディスクおよびキャッシュディスク用に作成されたAzureディスクは、標準SSDタイプです。現在、この設定は変更できません。
  • 従量課金プラン情報付きのテンプレートは使用できません。

Azureプラン情報

プラン情報を持つマスターVMからvDiskを作成しようとすると、作成は失敗して次のエラーメッセージが表示されます:

Azureプラン情報

次のAzureの制限を考慮してください:

  • 1つのサブスクリプションで作成できるVMの数は2500までです。
  • Azure File Servicesを使用してvDiskにストレージを提供する場合は、Premium Storage Accountを作成する必要があります。

要件

AzureでCitrix Provisioningを使用するには、以下が必要です:

  • 製品のオンプレミスバージョンのシステム要件を満たしていること。
  • この最新バージョンのCitrix Provisioningのライセンス。
  • ライセンスサーバーがインストールされていること。
  • Azureサブスクリプション。
  • 次のいずれかにデータベースを置くことができます:
    • Azure SQL Database
    • Azure SQL Managed Instance
    • サブスクリプションにインストールされているVM上のSQL ServerまたはSQL Server Express。
  • Citrix Virtual Apps and Desktops Cloud Connector VMがAzureサブスクリプションにインストールされていること。使用するサブスクリプション+リージョンの組み合わせごとに、個別のリソースの場所(Cloud Connectorのセット)が必要です。Citrix Provisioningは、顧客が管理するDelivery ControllerとCitrix Cloud Delivery Controllerの両方との連携を同じCitrix Provisioningコンソールからネイティブでサポートします。

ライセンス

最初の製品は、プロビジョニングに既存のライセンスメカニズムを使用します。すべての内部ユーザーのテストサブスクリプションにインストールされているライセンスサーバーにアクセスするには、「製品セットアップ」を参照してください。 次のいずれかのライセンスを使用します:

  • Citrix DaaSサブスクリプションをお持ちの場合は、付属のCloudプロビジョニングライセンスを使用してください。
  • ハイブリッド権利があるCitrix Virtual Apps and Desktopsライセンスをお持ちの場合は、このライセンスを直接使用できます。
  • これらのいずれもお持ちでない場合は、Citrixの担当者に連絡して、適切なトライアルライセンスを取得してください。

ライセンスサーバーは、Citrix ProvisioningサーバーVMの1つにインストールできます。

アーキテクチャ

このアーキテクチャの大まかな図は、AzureでCitrix Provisioningを次の項目とともにセットアップするために必要または推奨されるコンポーネントを示しています。

  • Citrix Virtual Apps and Desktops
  • Citrix DaaS

アーキテクチャ:AzureでのCitrix ProvisioningとCVAD

アーキテクチャ:AzureでのCitrix ProvisioningとDaaS

このセクションでは、主要なコンポーネントについて説明します。

Citrix Cloud

以下が含まれるAzure、Citrix DaaSでCitrix Provisioningを使用する場合:

  • 接続ブローカー
  • Azureで実行されているCitrix ProvisioningターゲットVMを参照する接続ブローカーカタログ。

Citrix ProvisioningサーバーはAzureターゲットVMの電源を管理しませんが、プロビジョニングコンソールから手動でターゲットのオンとオフを切り替えることができます。接続ブローカーは、Azureと直接通信して電源管理を開始します。VMが起動すると、VMはCitrix Provisioningサーバーによって維持されている仮想ディスクから起動ディスクをストリーム配信します。

Azure Active Directory Classicバージョン

AzureでのCitrix Provisioningは、「Classic」のActive Directoryのみをサポートします。「Active Directoryのセットアップ」で説明されている方法のいずれかで、従来のActive DirectoryをAzureで使用できるようにすることができます。

データベース

Citrix Provisioningは次のデータベースをサポートしています:

  • SQL Server
  • SQL Server Express Edition
  • Azure SQL Database
  • Azure SQL Managed Instance

サポートされる認証の種類について詳しくは、「サポートされる認証の種類」を参照してください。ニーズに最適な認証の種類を選択してください。

Citrix Provisioningサーバー

オンプレミス環境と同様に、Citrix ProvisioningサーバーをサーバークラスのAzure VMにインストールします。

vDiskにストレージを提供するための通常のプロセスが適用されます:

  • サーバーVMのローカルストレージを使用して、サーバー間のvDiskのレプリケーションを自分で管理できます。

  • Azure Filesを使用して、リージョン内の任意のサーバーからアクセスできるSMBサーバーを提供し、Azure FilesをホストするPremium Storageアカウントを作成します。Provisioningサーバーと同じリージョンでのアクセスのみサポートされます。

ヒント:

ストレージアカウントはPremiumである必要があります。

  • vDiskを共有するためのファイルサーバーとして機能する別のVMを作成します。

小さな起動ディスクを使用したターゲットVMの起動

Citrix Provisioningサーバーとターゲットは、Azureで使用できないためPXE起動とISO起動のどちらもサポートしていません。代わりに、ターゲットVMの起動は小さな起動ディスクであるBDM起動ディスク(約20 MB)を使用します。これには、Citrix Provisioning UEFI起動アプリケーションが含まれています。

BDMアプリは実行されると、Citrix Provisioningプロトコルを使用して、仮想ディスクのコンテンツをVMにストリーム配信します。Citrix Virtual Apps and Desktopsインストールウィザードを使用して、BDM起動ディスクを作成できます。ターゲットVMを手動でプロビジョニングする場合は、BDM.exeツールを使用してVHDファイルを作成できます。このファイルは、Azureにアップロードできる起動イメージです。

ターゲットVMのプロビジョニング

Citrix Virtual Apps and Desktopsインストールウィザードは、次のようなターゲットVMのプロビジョニングに必要なすべての手順を処理できます:

  • 起動ディスクの作成とアップロード(アクセスするProvisioningサーバーの構成を含む)。
  • Active Directoryコンピューターアカウントの作成、または既存のコンピューターアカウントのインポート。
  • キャッシュを保持するためのネットワーク接続、起動ディスク、およびCitrix Provisioning WBCディスクを含むターゲットVMの作成。
  • Provisioningサーバーデータベースでプロビジョニングされたターゲットの構成。
  • WBCディスクをフォーマットできるようにするためのターゲットVMの初期起動とシャットダウン。
  • Citrix Virtual Apps and Desktopsカタログの作成と、プロビジョニングされたターゲットのカタログへの追加。

仮想ディスクのキャプチャに使用されるCitrix ProvisioningマスターVM

Citrix ProvisioningマスターVMは、仮想ディスクのキャプチャに使用されます。Citrix Provisioning Target DriverパッケージをインストールするAzureで、VMを手動で作成します。

このメカニズムとその後のマスターVMからの仮想ディスクのキャプチャのメカニズムは、既存のオンプレミスインストールの場合と基本的に同じです。次のセクションで説明するいくつかの重要なポイントがあります。

AzureでのCitrix Provisioningのセットアップ

このセクションでは、インストール前のタスク、仮想ディスクからストリーム配信された一連のターゲットを使用したCitrix Provisioningコレクションの作成手順、およびガイドになるAzureドキュメントへのリンクについて説明します。

Azureプロビジョニングをセットアップするには、まず、AzureでProvisioningサーバーとその他のインフラストラクチャを構成します。Azure Resource Manager APIを使用して手順に従い、現在のオンプレミスセットアップと同じようにコンポーネントをセットアップします。PowerShellスクリプトを作成して、このプロセスを自動化できます。

インストール前の作業

Citrix Provisioningをインストールして構成する前に、以下のタスクを完了します。

データベースの選択と構成

各Citrix Provisioningファームには単一のデータベースがあります。次のいずれかでデータベースを提供できます:

  • 新規または既存のSQL ServerまたはSQL Server Expressインスタンス。
  • 新規または既存のAzure SQL Databaseサーバー。
  • 新規または既存のAzure SQL Managed Instance。

ファーム内のすべてのCitrix Provisioningサーバーがデータベースサーバーと通信できる必要があります。

実稼働環境では、負荷分散のパフォーマンス低下を回避するため、SQL ServerまたはSQL Server ExpressインスタンスとCitrix Provisioningサーバーコンポーネントソフトウェアを異なるサーバーにインストールすることをお勧めします。

データベースを作成するには、次の3つの方法があります:

  • 構成ウィザードを使用します。このオプションを使用するには、dbcreator権限が必要です。
  • データベースを作成する権限がない場合は、DbScript.exeユーティリティを使用して、データベース管理者がProvisioningデータベースを作成するために実行するSQLスクリプトを作成できます。このユーティリティはプロビジョニングソフトウェアとともにインストールされます。
  • データベース管理者がDbScript.exeユーティリティを実行して空のデータベースを作成した場合、構成ウィザードの実行時に、このデータベースが新しいファームのデータベースとして選択されます。構成ウィザードの実行時に使用されるログインは、データベースの所有者である必要があります。VIEW ANY DEFINITION権限を持っている必要があります。この権限は、データベース管理者が空のデータベースを作成するときに設定します。

DbScript.exeユーティリティを実行してデータベースを作成または更新

データベースを作成する権限がない場合は、DbScript.exeを使用して、データベース管理者がPVSデータベースを作成または更新するために実行するSQLスクリプトを生成できます。C:\Program Files\Citrix\Provisioning ServicesのWindowsコマンドプロンプトからスクリプトを実行します。

データベースを作成するためのスクリプトを生成するには、次の構文を使用します:

  • SQL Server、SQL Server Express、またはAzure SQL Managed Instanceの場合:DbScript.exe -new <databaseName> <farmName> <siteName> <collectionName> <farmAdminGroup> <adGroupsEnabled> <scriptName> <is2012orHigher>
  • Azure SQL Databaseの場合: DbScript.exe -newForAzSqlDb <databaseName> <farmName> <siteName> <collectionName> <farmAdminGroup> <adGroupsEnabled> <scriptName> <is2012orHigher>

Azure SQL Databaseの新しいデータベースを作成する場合、DbScriptは1つではなく2つのスクリプトファイルを生成します。

  • 1つ目のスクリプトはマスターデータベース内へ実行され、新しいデータベースを作成します。
  • 次に、2つ目のスクリプトが新しいデータベース内へ実行されます。

これは、Azure SQL Databaseの制限によるものです。

データベースを更新するためのスクリプトを生成するには、次のように入力します:

DbScript.exe -upgrade <databaseName> <scriptName>

コマンドは次の引数を使用します:

  • <databaseName> — 作成または更新するデータベースの名前。
  • <farmName> — 新しいデータベースのファーム名。
  • <siteName> — 新しいデータベースのサイト名。
  • <collectionName> — 新しいデータベースのコレクション名
  • <farmAdminGroup> — 完全なパスで指定されたファーム管理者グループ。

    注:

    構成ウィザードを実行する場合、PVSサーバーをデータベースに追加するには、このグループ(Active Directoryグループ)のメンバーである必要があります。

  • <adGroupsEnabled> —ブール値として指定されたADグループを有効または無効にします。ここでtrueはADグループを有効にし、falseはADグループを無効にします。
  • <scriptName> — 生成するスクリプトの名前。完全なパスで指定されます。
  • <is2012orHigher> — 廃止済み。常にtrueを使用してください。

サポートされる認証の種類

AzureでのCitrix Provisioningは、Azure SQL DatabaseおよびAzure SQL Managed Instanceにある機能の利点を得るために、より多くの認証モードをサポートしています。ニーズに最適な認証モードを選択してください。

AzureでのCitrix Provisioningでサポートされる認証モードは次のとおりです:

  • 統合Active Directory
  • SQL Server
  • Active Directoryパスワード
  • Active Directoryサービスプリンシパル
  • システム提供の管理対象ID
  • ユーザー提供の管理対象ID

以下の表に、各認証モードで付与されるアクセス権、必要な資格情報、およびサポートされるデータベースプラットフォームに関する情報を示します。

認証モード アクセス権の付与 必要な資格情報
統合Active Directory Active Directoryユーザー 何もない(現在のログインコンテキストを使用します) 既存のユーザー名を使用しない場合は、Active Directoryにユーザー名を作成します。
SQL Server SQLログイン ログインとパスワード 既存のログインを使用しない場合は、データベースサーバーにSQLログインを作成します。
Active Directoryパスワード Active Directoryユーザー ドメイン修飾ユーザー名とパスワード 既存のユーザー名を使用しない場合は、Active Directoryにユーザー名を作成します。
Active Directoryサービスプリンシパル アプリケーション アプリケーションIDの名前、アプリケーションID、テナントID、およびシークレット 既存のアプリケーションを使用しない場合は、Active Directoryに登録済みアプリケーションを作成します。既存のシークレットを使用しない場合は、既存の登録済みアプリケーションの新しいアプリシークレットを生成できます。
システム提供の管理対象ID 仮想マシン 何もない(現在のVMを使用します)  
ユーザー提供の管理対象ID 仮想マシン 管理対象IDの名前、クライアントID、およびオブジェクトID  
認証モード データベースプラットフォーム
統合Active Directory SQL Server
  Azure SQL Database
  Azure SQL Managed Instance
SQL Server SQL Server
  Azure SQL Database
  Azure SQL Managed Instance
Active Directoryパスワード Azure SQL Database
  Azure SQL Managed Instance
Active Directoryサービスプリンシパル Azure SQL Database
  Azure SQL Managed Instance
システム提供の管理対象ID Azure SQL Database
  Azure SQL Managed Instance
ユーザー提供の管理対象ID Azure SQL Database
  Azure SQL Managed Instance
その他の制限
  • 統合Active Directory認証の制限:
    • SQL Serverの場合:Citrix Provisioningサーバーはドメインに属している必要があり、プロビジョニングサービスユーザーコンテキストはドメインユーザーである必要があり、Citrix Provisioningはドメインユーザーによって構成されている必要があります。
    • Azure SQLの場合: この認証モードはAzure SQLで使用しますが、Azureテナントドメインにフェデレーションされたエンタープライズドメインからのみ使用します。Citrix Provisioningサーバー仮想マシンはエンタープライズドメインに属している必要があり、プロビジョニングサービスアカウントのユーザーコンテキストはエンタープライズユーザーである必要があり、Citrix Provisioningはエンタープライズユーザーによって構成されている必要があります。フェデレーションドメインの設定は重要なタスクです。以前にこれを行ったことがある場合は、このオプションを使用してください。代わりに、Active Directoryパスワード認証を使用してください。
  • システム提供の管理対象ID認証の制限:

    • Citrix ProvisioningサーバーVMで、システムに割り当てられた管理対象IDを有効にします。
  • ユーザー提供の管理対象ID認証の制限:
    • ユーザーが割り当てた管理対象IDを作成するか、既存のIDを選択して、そのユーザーが割り当てた管理対象IDをCitrix ProvisioningサーバーVMに追加します。

構成ウィザードのユーザーアクセス許可

構成ウィザードを実行するには、ローカル管理者のシステム権限が必要です。

管理者データベースプリンシパルは、構成ウィザードがProvisioningデータベースを作成およびセットアップするために使用するデータベースプリンシパルです。 構成ウィザードで指定する認証資格情報は、データベースプリンシパルを特定します。

  • Active Directory統合認証を選択した場合、構成ウィザードは、構成ウィザードを実行しているユーザー(Active Directoryユーザー)としてデータベースにアクセスします。
  • 他の認証モードを選択した場合、構成ウィザードは別のプリンシパルとしてデータベースにアクセスします。

管理者データベースプリンシパルの選択について詳しくは、「サポートされる認証の種類」を参照してください。

注:

データベース管理者プリンシパルは、構成ウィザードの実行中にのみ使用されます。保存されず、StreamおよびSOAPサービスによって使用されません。StreamおよびSOAPサービスに対して、昇格された特権を持つプリンシパルを使用する必要があります。

  • SQL ServerまたはAzure SQL Managed Instanceを使用する場合、管理者データベースプリンシパルには次のアクセス権限が必要です:

    • securityadmin:サーバーログインの作成と更新用(SQL ServerまたはAzure SQL Managed Instanceを使用する場合)
    • db_owner:既存のデータベース用

    新しいファームのデータベースを作成するには、管理者データベースプリンシパルに追加の権限としてdbcreatorが必要です。

  • Azure SQL Databaseを使用する場合、管理者データベースプリンシパルには次のアクセス権限が必要です:

    • loginmanager:サーバーログインの作成と更新用(Azure SQL Databaseを使用する場合)
    • db_owner:既存のデータベース用

    新しいファームのデータベースを作成するには、管理者データベースプリンシパルに追加の権限としてdbmanagerが必要です。

    loginmanagerdbmanagerは、マスターデータベースのユーザーに割り当てられる特別なユーザー役割です。

サービスアカウントの権限

StreamおよびSOAPサービスのサービスアカウントには、次のシステム権限が必要です:

  • サービスとして実行する
  • レジストリの読み取りアクセス
  • Program Files\Citrix\Citrix Provisioningへのアクセス
  • すべての仮想ディスクの場所への読み取りおよび書き込みアクセス。

サービスデータベースプリンシパルは、サービスがProvisioningデータベースにアクセスするために使用するデータベースプリンシパルです。構成ウィザードで指定する認証資格情報は、使用されるデータベースプリンシパルを特定します。

  • Active Directory統合認証を選択した場合、サービスは、サービスアカウント(Active Directoryユーザー)としてデータベースにアクセスします。
  • 他の認証モードを選択した場合、サービスは別のプリンシパルとしてデータベースにアクセスします。

サービスデータベースプリンシパルの選択について詳しくは、「サポートされる認証の種類」を参照してください。

構成ウィザードは、サービスデータベースプリンシパルが以下の権限を持つようにデータベースを構成します。

  • db_datareader
  • db_datawriter
  • ストアドプロシージャの実行権限

Azureサブスクリプションでのフィーチャーフラグの有効化

次のPowerShellコマンドを使用して、ReserveMacOnCreateNicフィーチャーフラグを有効にします:

Register-AzProviderFeature -FeatureName ReserveMacOnCreateNic -ProviderNamespace Microsoft.Network
Register-AzResourceProvider -ProviderNamespace Microsoft.Network
<!--NeedCopy-->

このPowerShellコマンドは、MACアドレスが仮想NICに割り当てられるタイミングのみを変更し、他の方法で機能を変更することはありません。

AzureにターゲットVMを作成する機能を完全に削除する場合は、次のようにフィーチャーフラグを無効にできます:

Unregister-AzProviderFeature -FeatureName ReserveMacOnCreateNic -ProviderNamespace Microsoft.Network
<!--NeedCopy-->

Azureでの1つまたは複数のリソースグループの作成

Azureのドキュメントを使用して、必要な構造に一致するリソースグループを作成します。

Active Directoryのセットアップ

次のいずれかの方法を使用して、AzureでActive Directory APIと機能をサポートします:

  • Azureテナント(ディレクトリ)に対して、Azure Active Directory Domain Services機能を有効にします。企業のActive Directoryサービスとの接続が必要な場合は、データセンターのサーバーにAzure AD Connectをインストールして構成します。Azure AD Connectは、オンプレミスドメインコントローラーとAzure ADディレクトリの間で同期を行います。このプロセスは、Microsoft AD Connect機能を使用して、オンプレミスフォレストと統合できます。

  • サブスクリプションにActive DirectoryドメインコントローラーVMを作成し、ExpressRoute接続を介してオンプレミスフォレストに接続します。

  • サブスクリプションにADドメインコントローラーを作成して、スタンドアロンのActive Directoryドメインを作成します。

Azureでのストリーム配信用の仮想ネットワークの確立

Azureに仮想ネットワークがまだない場合は、使用しているリージョンおよびサブスクリプションごとに仮想ネットワークを作成します。Active Directory仮想ネットワークおよびAzure SQL Managed Instance仮想ネットワーク(使用されている場合)とピアリングする仮想ネットワークが必要です。Azureドキュメントの「仮想ネットワークの確立」を参照してください。

  1. ターゲットをストリーム配信するように設定されている仮想ネットワークと、Active Directoryを実行している仮想ネットワークの間に、仮想ネットワークピアリングを設定します。これらのピアリングにより、接続されたVMがActive Directoryドメインのドメインコントローラーと通信できるようになります。仮想ネットワークには、標準のハブとスポーク構成を使用することをお勧めします。「Azureのハブ-スポークネットワークトポロジ」を参照してください。
  2. 各仮想ネットワークのDNSサーバーをADドメインコントローラーのIPアドレスに設定します。

(推奨)安全なVMアクセスのためのAzure Bastionアクセスの設定

Azureドキュメント「Bastionの構成」で説明されているように、サブスクリプションで実行されているVMに安全に外部アクセスするため、パブリックIPアドレスを使用せずにインフラストラクチャVMを作成してAzure Bastionを構成することを強くお勧めします。

AzureでのコネクタVMの作成

クラウドコネクタとして機能するVMを、使用中のリージョンとサブスクリプションのそれぞれ固有の組み合わせで作成します。次に、Citrix Cloud Connectorをインストールします。

AzureでのCitrix Provisioningサーバーの作成

Azureで、Provisioningサーバー用のVMを作成します。オンプレミスのProvisioningサーバーと同様に、予想される負荷に合わせてサーバーのサイズを設定します。次に、VMにCitrix Provisioningソフトウェアをインストールします。

米国政府向けホスト接続の構成

Citrix Provisioningは、米国政府向けAzureなど、Azure Commercial以外のAzureコントロールプレーンをサポートします。Citrix Studioを使用してホスト接続を作成するときに、米国政府向けAzureの管理URL(https://management.usgovcloudapi.net/)を追加できます。詳しくは、「既存のサービスプリンシパルを使用した接続の作成」を参照してください。

サービスエンドポイントURLの構成

Azureには、Azureサービスのエンドポイントがシークレットのシークレット環境があります。Azureシークレットリージョンをサポートするために、必要なサービスのエンドポイントURLを構成できるようになりました。

エンドポイントURLを構成するには、以下の手順を実行します:

  1. パスC:\ProgramData\Citrix\Citrix Provisioning\ConfigがすべてのCitrix Provisioningサーバーに存在することを確認してください。
  2. Configフォルダーにアクセス制御リスト(ACL)を設定して、configJSONファイルを未承認アクセスから保護します。推奨されるACLは次のとおりです:

    • System:フルコントロール。この権限は、フォルダー、サブフォルダー、およびファイルに適用されます。
    • Administrators:フルコントロール。この権限は、フォルダー、サブフォルダー、およびファイルに適用されます。
    • Citrix Provisioningサービスを実行する特定のユーザー:読み取り専用。この権限は、フォルダー、サブフォルダー、およびファイルに適用されます。権限を指定しない場合、Citrix Provisioningサービスはネットワークサービスとして実行されます。この場合、ネットワークサービスに読み取り権限を付与する必要があります。
  3. Configフォルダーの下にJSONファイル CustomizedAzureEnvironmentConfig.jsonを作成します。JSONファイルにエンドポイントURLを入力します。例:

    {
    "managementEndpoint": "https://management.scombine.scloud/",
    "databaseEndpoint": "https://database.scombine.scloud",
    "loginEndpoint": "https://login.scombine.scloud/",
    "graphEndpoint": "https://graph.scombine.scloud/",
    "storageSuffix": ".scombine.scloud"
    }
    <!--NeedCopy-->
    
  4. フィーチャーフラグを有効します。

    1. Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\ProvisioningServices\FeaturesにDWORD値AzureSecretRegionを追加します。
    2. 値を1に設定します。

Citrix Provisioningソフトウェアのインストール

Citrix ProvisioningサーバーVMには、次のリソースが必要です:

  • Azure SQL DatabaseサービスかAzure SQL Managed Instanceサービス、またはSQL ServerかSQL Server Expressを実行中のVMへのアクセス権。
  • Azure上のライセンスサーバーVMへのアクセス権。

  • Active Directoryの要件は、既存のオンプレミスバージョンのCitrix Provisioningの要件と同じです。

  • トラフィックをサポートするための適切な仮想ネットワークとサブネット。パブリックIPアドレスを使用せず、Bastionサービスのみを使用してアクセスすることを強くお勧めします。複数の仮想ネットワークがある場合は、Provisioningサーバー、ライセンスサーバー、およびActive Directoryを含む1つまたは複数のサブネットへのピアリングを構成します。複数の仮想ネットワークとサブネットがある場合は、標準のハブとスポークを設定することをお勧めします。「Azureのハブ-スポークネットワークトポロジ」を参照してください。

  • サーバーVMごとに少なくとも1つのNICがあり、サーバーが使用するターゲットと同じサブネット上にあり、高速ネットワークが有効になっていること。

  • 仮想ディスクストレージへのアクセス権。以下を使用できます:

    • ProvisioningサーバーVM上のローカルストレージ(通常はAzure Data Disk経由)。

    • PremiumのAzureストレージアカウント、またはAzure Netappサービスによって実装されたファイル共有。

      リマインダー:

      ファイル共有を使用する場合は、Citrix Provisioning設定のUNC(汎用名前付け規則)によってファイル共有を参照してください。たとえば、\server01\path\path。

      Citrix Provisioningは標準ストレージアカウントをサポートしていません。Azureファイル共有を使用する場合は、指示に従って、Azure内のファイル共有にStreamServerのアクセス権を付与します。

    • ファイル共有を提供する別のVM。

  • Citrix ProvisioningサーバーVM用にそれぞれ最低2つの4vCPUと8 GB RAM。GBが多いほど良いです。1つのvDiskをストリーム配信する2500個のターゲットを処理するには、高速ネットワークが有効になっている16 GBのCitrix Provisioningサーバーを備えた2つの4vCPUで十分です。

Citrix Provisioningサーバーとコンソールをインストールするには:

  1. 管理者アカウントを使用して、(Bastionを使用している場合はBastionホスト(踏み台ホスト)を介して)Citrix ProvisioningサーバーVMにログインします。
  2. ファイルエクスプローラーで、ISOファイルを選択し、右クリックしてファイルをマウントします。
  3. マウントされたドライブのルートフォルダーで、autorun.exeファイルを見つけて実行します。Citrix Provisioningインストーラーが起動します。
  4. コンソールをインストールすることから始めます。前提条件として挙げられているものをインストールするようインストーラーから求められます。 Citrix Provisioningコンソールのインストール

  5. プロンプトが表示されたら、再起動し、Citrix Provisioning ISOを再度マウントして、プロセスを再開します。
  6. 自動実行プログラムの [サーバーのインストール] リンクを使用して、Citrix Provisioningサーバーをインストールします。デフォルトでは、トラフィックをプロビジョニングするためのファイアウォール規則の作成が有効になっています。

    すべてのCitrix Provisioningポートを自動的に開く

    注:

    VNet用に定義されたネットワークセキュリティグループが、Citrix Provisioningトラフィックのフローを許可する必要があります。通信フローの確保のために開く必要があるポートについては、「Citrixテクノロジで使用される通信ポート」を参照してください。

    サーバーのインストールが完了すると、ProvisioningサーバーをセットアップするCitrix Provisioning構成ウィザードが実行されます。

    1. ようこそ:[ようこそ]ダイアログボックスを読み、[次へ] をクリックします。

    2. ファーム構成:新しいファームを作成することを示します。

      [ファームは構成済みです] を選択した場合は、ポップアップダイアログボックスにデータベース管理者資格情報を入力します。現在のログインを使用する場合は、[統合Active Directory] 認証を選択します。

    3. データベースサーバー:SQL Serverのホスト名またはアドレスと、Provisioningサーバーで使用するために作成したインスタンスの名前を入力する、あるいは、Azure SQL Databaseサーバー名(インスタンスを空白のままにする)またはAzure SQL Managed Instanceのホスト名(インスタンスを空白のままにする)を追加します。[認証]ドロップダウンには、サポートされている認証の種類が表示されます。選択した認証モードに応じて、データベースに接続するために必要な資格情報を入力できます。このページの資格情報は、Stream ServiceおよびSOAP Service用です。

      Citrix Provisioningコンソールのインストール

      [次へ]をクリックした後、ポップアップダイアログボックスにデータベース管理者資格情報を入力します。現在のログインを使用する場合は、[統合Active Directory] 認証を選択します。

    4. 新しいファーム:ファーム、サイト、およびコレクションの名前を入力します。[セキュリティ保護にActive Directoryグループを使用する]と[ファーム管理者]グループを選択することをお勧めします。

    5. 新しいストア:ストアと場所を指定します。ファイル共有を使用している場合は、UNC名を入力します。

    6. ライセンスサーバー:ライセンスサーバーの場所を入力します。

    7. ユーザーアカウント:サービスを実行するユーザーアカウントを指定します。ストアにネットワーク共有を使用する場合は、共有にアクセスできるドメインアカウントを使用してください。そのアカウントは、PVSサーバーの管理者である必要があります。

    8. ネットワーク通信:ストリーム配信と管理に使用するネットワークインターフェイスを選択します。NIC(ネットワークインターフェイスカード)が1つしかない場合は、デフォルトを受け入れます。

    9. SOAP SSL構成:デフォルト値を受け入れます。

    10. 問題の報告の構成:MyCitrix資格情報を入力して、ケースの送信を有効にします。

    11. 完了:構成の内容を確認し、[完了] をクリックします。 ダイアログボックスがWindowsファイアウォールに関する警告を報告します。

    12. [OK] をクリックします。進行状況ダイアログボックスが開き、Citrix Provisioning構成中の進行状況が表示されます。 障害が発生した場合は、ログを確認するためのリンクが届きます。

    13. 構成が正常に完了したら、[完了] をクリックします。

構成ウィザードのサイレント実行のワークフロー

ファーム内の複数サーバーをサイレントに構成するための基本手順は次のとおりです:

  • ファーム内の構成済みのProvisioningサーバーからConfigWizard.ansファイルを作成するか、手動で作成します。ファイルを手動で作成するには、「 ConfigWizard.ansファイルを手動で作成」を参照してください。
  • ConfigWizard.ansファイルをファーム内のほかのサーバーにコピーし、各サーバーと一致するようにConfigWizard.ansファイル内のIPアドレスを変更します。
  • ConfigWizard.exe/aパラメーターを付けて実行します。

ConfigWizard.ansファイルを手動で作成

ConfigWizard.ansファイルを最初から作成する場合は、Unicodeとして保存できるテキストエディタを使用してConfigWizard.ansという名前のファイルを作成し、Unicodeとして保存します。以下の表のパラメーターを入力します。構成に関連するすべてのパラメーターを含めます。

画面 UIオプション 手動パラメーター
ファーム構成 ファームは構成済みです FarmConfiguration=0
  ファームを作成 FarmConfiguration=1
  既存のファームに参加 FarmConfiguration=2
データベースサーバー DatabaseAdminAuthentication DatabaseAdminAuthentication = < ActiveDirectoryIntegratedActiveDirectoryPassword、またはSqlPassword>
  DatabaseAdminUsername DatabaseAdminUsername =<Active Directoryユーザー名またはSQLログイン>(DatabaseAdminAuthenticationがActiveDirectoryPasswordまたはSqlPasswordの場合にのみ使用されます)
  DatabaseAdminPassword DatabaseAdminPassword=<password>(DatabaseAdminAuthenticationがActiveDirectoryPasswordまたはSqlPasswordの場合にのみ使用されます)
データベースサーバー([ファームを作成] または [既存のファームに参加] の後) DatabaseAuthentication DatabaseAuthentication=<ActiveDirectoryIntegratedActiveDirectoryPasswordActiveDirectoryServicePrincipalActiveDirectoryMSI/SystemActiveDirectoryMSI/User、またはSqlPassword>
  DatabaseUsername DatabaseUsername=<Active Directoryユーザー名アプリ登録名管理対象ID名、またはSQLログイン>(DatabaseAuthenticationがActiveDirectoryPassword、ActiveDirectoryServicePrincipal、ActiveDirectoryMSI/UserまたはSqlPasswordの場合にのみ使用されます)
  DatabasePassword DatabaseAdminPassword= < パスワードまたはアプリケーションシークレット>(DatabaseAuthenticationがActiveDirectoryPassword、ActiveDirectoryServicePrincipal、またはSqlPasswordの場合にのみ使用されます)
  DatabaseTenantID DatabaseTenantID= <アプリケーション登録のテナントID>(DatabaseAuthenticationがActiveDirectoryServicePrincipalの場合にのみ使用されます)アプリケーション登録のテナントID>アプリケーション登録のテナントID>
  DatabaseApplicationID DatabaseApplicationID= <アプリケーション登録のアプリケーションID>(DatabaseAuthenticationがActiveDirectoryServicePrincipalの場合にのみ使用されます)アプリケーション登録のアプリケーションID>アプリケーション登録のアプリケーションID>
  DatabaseClientID DatabaseClientD= <管理対象IDのクライアントID>(DatabaseAuthenticationがActiveDirectoryMSI/Userの場合にのみ使用されます)管理対象IDのクライアントID>管理対象IDのクライアントID>
  DatabaseObjectID DatabaseObjectID= <管理対象IDのオブジェクトID>(DatabaseAuthenticationがActiveDirectoryMSI/Userの場合にのみ使用されます)管理対象IDのオブジェクトID>管理対象IDのオブジェクトID>
  サーバー名 DatabaseServer =<dBName><NonDefaultSQLPort> (デフォルトのポートの場合、ポート値を省略)
  インスタンス名 DatabaseInstance =<インスタンス名>
  データベース名 DatabaseNew=<データベース名>
  SQL ServerのMultiSubnetFailoverを常時有効にします MultiSubnetFailover =<0または1>
  データベースミラーフェールオーバーパートナーサーバー名 FailoverDatabaseServer=<データベース名><NonDefaultSQLPort>(データベースミラーフェールオーバーパートナーが使用されていない場合、この値は省略されるか、値が空になります)
データベースミラーフェールオーバーパートナーインスタンス名
新しいファーム(新しいファームが作成される場合) ファーム名 FarmNew=<ファーム名>
  サイト名 SiteNew=<サイト名>
  コレクション名 CollectionNew=<コレクション名>
  ファーム管理者グループ: PVSサーバーがActive Directoryにある場合 ADGroup=<ADグループへのパス> 例:test.local/Users/Domain Users
  PVSサーバーがWorkgroupにある場合 Group=<ローカルグループへのパス> 例:PVS-Server-1/Administrators
新しいストア(新しいファームが作成される場合) ストア名 Store=<ストア名>
  デフォルトパス DefaultPath=<ストアパス>
既存のファーム(既存のファームに参加する場合) ファーム名 FarmExisting=<データベース名>
サイト(既存のファームに参加する場合) 既存のサイト; サイト名 ExistingSite=<サイト名>
  新しいサイト; サイト名 Site=<サイト名>
  コレクション名 Collection=<コレクション名>
ストア(既存のファームに参加するとき) 既存のストア; ストア名 ExistingStore=<ストア名>
  新しいストア; ストア名 Store=<ストア名>
  デフォルトパス DefaultPath=<ストアへのパス>
ライセンスサーバー ライセンスサーバー名 LicenseServer=<CitrixライセンスサーバーのIP, ホスト名, FQDN>
  ライセンスサーバーのポート LicenseServerPort=<ライセンスサーバーのポート>(27000はデフォルトのポート)
  オンプレミス(ライセンスの種類) licenseSKU=0
  使用できるDesktopsライセンスがないときはDatacentersライセンスを使用する LicenseTradeup=<0または1>
  クラウド(ライセンスの種類) licenseSKU=1
ユーザーアカウント Network Serviceアカウント Network=1
  指定されたユーザーアカウント; ユーザー名/ドメイン <ドメイン\ユーザー名>
  パスワード UserName2=<パスワード>
Active Directoryコンピューターアカウントのパスワード パスワードの更新間隔日数 PasswordManagementInterval=<日数>(このパラメーターを含めると [コンピューターアカウントのパスワードを自動的に更新する] が有効になります)
ネットワーク通信 ストリーム配信ネットワークカード StreamNetworkAdapterIP=<IPofStreamingNIC1,IPofStreamingNIC2,…>(コンマ区切りのIP一覧)
  管理ネットワークカード ManagementNetworkAdapterIP=<管理NICのIP>(1つのIPのみ)
  注: ネットワークカードは、ストリーム配信と管理の両方に使用できます。  
  最初の通信ポート IpcPortBase=6890
  サーバー通信に使用される合計ポート数 IpcPortCount=20
  コンソールポート SoapPort=54321
SOAP SSL構成 SSLポート SSLPort=54323
  SSL証明書 SSLCert=<トークン>
問題の報告の構成 My Citrixユーザー名 CisUserName=<ユーザー名>
  パスワード CisPassword=<パスワード>

マスターVMの作成

このセクションでは、マスターVMを作成する方法と、起動時にCitrix Provisioningサーバーに接続するためのイメージを準備する方法について説明します。

必ず、以下を使用してください:

  • 第2世代マシン。
  • Windows 10、Windows 11(Standard Security Type)、またはWindows Server 2016/2019/2022 OS。

マスターVMを作成するには:

  1. 仮想マシンを作成する:

    1. Azure Portalにログオンし、[ホーム]>[仮想マシン] に移動します。

    2. [追加] をクリックして、仮想マシンの作成ウィザードを完了します。必ず、次の値を設定してください:
      • Basics:ページの下部にある [I confirm] ライセンスオプションを選択します。
      • Networking:ストリーム配信に使用するサブネットを指定し、[no public IP] を選択します。
      • Advanced:VMの世代として [Gen 2] が選択されていることを確認します。
    3. Windowsのセットアップを完了します。

    4. Citrix Provisioning環境で使用されるドメインに参加します。

    5. 標準的な方法で、VDAを展開します。
  2. ページファイルの場所が正しいことを確認してください。
    • 選択したマシンサイズに一時ディスクがある場合は、システムページファイルがこのディスク(D:ドライブ)にあることを確認してください。Azure MarketplaceイメージからマスターVMを作成した場合は、システムページファイルが既に一時ディスクに配置されている必要があります。ただし、VMが独自のイメージから作成された場合は、これが当てはまらないことがあります。
    • マシンサイズに一時ディスクがない場合:システムページファイルは、起動(C:)ディスク上に配置する必要があります。
  3. Citrix Provisioningのターゲットデバイスソフトウェアをインストールします。

    1. Citrix Provisioning ISOをマウントします。
    2. プロンプトが表示されたら再起動します。
  4. オンプレミスインストールの場合と同様に、イメージ作成ウィザードまたはP2PVSを実行します。

    1. [サーバー名またはIPアドレス] を指定し、[Windows資格情報を使用する] を選択します。

    2. イメージ作成オプション:[vDiskの作成] を選択します。

    3. ターゲットデバイスの追加:[ターゲットデバイス名][コレクション名] を指定します。

      重要:

      現在のホスト名とは異なる名前を使用してください。マスターVMは、ローカルディスクまたは作成する仮想ディスクのいずれかから起動できますが、コンピューターアカウントのパスワード管理はそれらの間で同期されません。ターゲットに現在のホストと同じ名前を付けると、マスターVMを起動する2つの方法を切り替えるときにドメインの信頼が失われます。

    4. 新しいvDisk:仮想ディスク名を指定します。

    5. Microsoftボリュームライセンス:[KMSライセンス] を選択します。

    6. イメージ作成対象:[起動ディスク全体のイメージを作成] を選択します。

    7. Citrix Provisioningのハードディスクを最適化する:[ハードディスクの最適化] を選択して、不要なWindows機能が無効になっていることを確認します。

    8. 概要: 設定が正しいことを確認し、プロンプトが表示されたら [作成] をクリックして、VMを再起動します。VMが再起動すると、Azure Portalの[Azure Boot Diagnostic]ページに起動の進行状況が表示されます。

    9. マスターVMの起動が完了したら、再度ログオンします。イメージ作成ウィザードは、中断したところから再開します。ディスクをフォーマットするかどうかを尋ねるダイアログボックスが開きます。[キャンセル]を選択します。(イメージ作成には時間がかかります。)

    10. イメージ作成が完了したら、イメージ作成ウィザードを終了します。

    11. Provisioningコンソールで:

      • [キャッシュの種類][ハードディスクのオーバーフローありデバイスRAMにキャッシュ] に設定し、vDiskを[実稼働]のステータスに更新します。
      • マスターVMのターゲット定義を右クリックし、[Active Directory]>[コンピューターアカウントの作成] を選択します。

Citrix Virtual Apps and Desktopsインストールウィザードを使用してAzureにターゲットVMを作成する

Citrix Virtual Apps and Desktopsインストールウィザードを使用すると、1回の呼び出しで複数のターゲットVMを作成できます。ウィザードに従って、ターゲットVMを作成し、それらのVMをCitrix Virtual Apps and DesktopsおよびCitrix DaaSと統合するまでの全プロセスを実行できます。

初期セットアップ

Citrix Virtual Apps and Desktopsインストールウィザードを実行する前に一度、 以下を実行してください:

  1. 独自のサービスプリンシパルを使用してAzureにアクセスする場合は、「Microsoft Azure Resource Manager仮想化環境」のガイダンスに従って、プロビジョニングでの使用に適したSPNを作成します。

注:

Citrix Virtual Apps and Desktopsインストールウィザードで使用されるリソースグループに対し、CanNotDeleteまたはReadOnlyロックを使用しないでください。詳しくは、「Microsoftロックリソース」を参照してください。

ターゲットVMを作成する

ウィザードを使用してターゲットVMを作成するには:

  1. Provisioningコンソールを実行し、ターゲットを作成するサイトを右クリックして、[Citrix Virtual Desktopsインストールウィザード] を選択します。

    インストールウィザード:ようこそ

  2. ウェルカムページをクリックし、Delivery Controllerのタイプを選択して、[次へ] を選択します。

    1. [Citrix Cloud] を選択した場合 :

      Citrix Cloud Desktop Delivery Controller Citrix Virtual Apps and Desktopsインストールウィザード

      1. Citrix Cloudの資格情報を入力します。
      2. 複数の顧客がいる場合は、適切なCloudの顧客を選択します。
    2. [顧客管理コントロールプレーン] を選択した場合 :

      Citrix Cloud Desktop Delivery Controller Citrix Virtual Apps and Desktopsインストールウィザード

      1. コントローラーのホスト名またはアドレスを入力します。ウィザードでは、現在ログインしているユーザーを使用して、Delivery Controllerへの認証を行います。
  3. 表示された一覧からAzureホスティングユニットを選択します。このウィザードは、Cloudから取得した一覧を表示します。プロビジョニング先のリソースの場所に基づいて、使用するホスティングユニットを選択します。

    インストールウィザード:Azureホスティングユニット

  4. 次に、Azure APIを操作するためのサービスプリンシパル名(SPN)を確立します。SPNには2つのコンポーネントがあります:

    • アプリケーションID(サービスプリンシパルを一意に識別するGUID(グローバル一意識別子))。

    • アプリケーションシークレット。

    SPNを指定するには、次の2つの選択肢があります:

    • ホスティングユニットには、構成済みのアプリケーションIDがあります。インストールウィザードは、このアプリケーションの新しいシークレットを生成できます。ただし、ホスティングユニットに保存されているアプリケーションIDを最初に作成したユーザーの資格情報が必要です。以下のとおりに続行します:

      1. [Virtual Apps and Desktopsホストリソースに関連付けられているサービスプリンシパルを使用する] を選択し、[アプリケーションシークレットの生成] をクリックします。

        インストールウィザード:アプリケーションシークレット

        ヒント:

        Citrix Virtual Apps and Desktopsインストールウィザードを初めて実行するとき、選択したホスティングユニット(この場合はAzureホスティングユニット)では、生成されたシークレットは1年間有効です。生成されたシークレットに関する情報が表示されます。生成されたシークレットが1年間有効な場合、そのシークレットはCitrix Provisioningデータベースに保存され、電源管理操作に使用されます。同じホスティングユニットを使用して再度Citrix Virtual Apps and Desktopsインストールウィザードを実行するとき、生成されたシークレットは1日有効です。このシークレットは、インストールウィザードを使用してセットアッププロセスを完了すると削除されます。Citrix Virtual Apps and Desktopsインストールウィザードの実行中にセットアッププロセスをキャンセルすると、生成されたシークレットは削除されます。

      2. アプリケーションの作成に使用したものと同じ資格情報を使用して、Azureにサインインします。別の資格情報を使用すると、エラーが発生します。

        インストールウィザード:サインイン

        このプロセスにはかなりの時間がかかる場合があります。ハングしていると思われる場合は、キャンセルボタンを押して中止できます:

        インストールウィザード:キャンセル

        キャンセルすると、認証情報を生成または入力するための画面に戻ります。

      3. 成功すると、シークレットはアスタリスク(*)で表示されます。[OK] をクリックして続行します。

        インストールウィザード:シークレット

    • 以前に独自のSPNを作成した場合:

      1. [使用するサービスプリンシパル資格情報の入力] を選択し、アプリケーションIDとシークレットを入力します。[資格情報のテスト] をクリックします。

        インストールウィザード:サービスプリンシパル資格情報

        SPNが有効な場合、緑色のチェックマークが [テスト] ボタンの横に表示されます。

      2. [OK] をクリックして続行します。ウィザードが、ターゲットVMを作成するためのテンプレートとして、使用できるVMの一覧を読み込みます。

      注意:

      Azureホスティングユニットを使用してCitrix Virtual Apps and Desktopsインストールウィザードを初めて実行するとき、電源管理操作のために資格情報がCitrix Provisioningデータベースに保存されます。

      プロセスが失敗すると、次のようなメッセージが表示されます:

      インストールウィザード:エラーメッセージ

      [OK] をクリックして、認証ページに戻ります。

  5. プロビジョニングされたターゲットの設定で、以前セットアップしたVMを選択します。第2世代VMをサポートするマシンサイズを使用するテンプレートVMが読み込まれます。

    インストールウィザード:プロビジョニングされたターゲットのVM設定

    1. テンプレートとして使用するVMを選択します。オンプレミスのCitrix ProvisioningおよびMCSに使用するものと同じVDAバージョンを選択します。[次へ] をクリックします。
  6. プロビジョニングされたターゲットのvDiskを選択します。

    インストールウィザード:ターゲット用のvDisk

  7. カタログを作成するか、VMを既存のカタログに追加するかを選択します。

    インストールウィザード:カタログ

    既存のカタログに追加する場合は、カタログのドロップダウンリストが用意されており、そこから選択できます。

  8. VDAとカタログの種類を選択します:

    インストールウィザード:VDAの種類 インストールウィザード:カタログの種類

  9. 作成するVMの数とローカルキャッシュディスクのサイズを選択します。参考情報として、テンプレートVMのマシンサイズ、vCPUの数、およびメモリサイズが表示されます。

    インストールウィザード:VMの数、ローカルキャッシュ、およびマシンサイズ

    注:

    BDMモードは、Azureでサポートされている唯一の起動モードです。

  10. ターゲットVMを作成するときに使用するリソースグループを選択します。リソースグループが存在する必要がありますが、VMをリソースグループに割り当てる方法を決定します。次の例では、ターゲット用に個別のリソースグループがあり、すべてのターゲットをグループとして管理しやすくなっています。

    インストールウィザード:リソースグループ

  11. ターゲット用のActive Directoryを選択します。

    Citrix Provisioningは、信頼されていないドメインでのターゲットデバイスのプロビジョニングをサポートします。

    ドメインが信頼できない場合は、[ドメイン認証] で次の操作を行います:

    1. [ドメインには追加の資格情報が必要です] を選択します。
    2. 信頼されていないドメインのドメイン名、ユーザー名、パスワードを入力します。
    3. [資格情報のテスト] をクリックします。この操作により、ドメイン名と資格情報が検証されます。
    4. 緑色のチェックマークが付いたら、次のページに進みます。

    信頼されていないドメイン

    注:

    Azure Activeの検索には時間がかかる場合があり、Provisioningコンソールが応答を停止することがあります。ウィザードが応答を停止し、ダイアログボックスが開き、[今すぐ終了] または [キャンセル] という選択肢が表示された場合は、[キャンセル] をクリックして、セットアップ操作を続行します。

  12. ターゲットのログインサーバーとして機能するProvisioningサーバーに関する情報を設定します。オンプレミス製品と同様に、サーバーセットに変換するDNS FQDNを使用するか、IPアドレスで目的のサーバーを指定できます。IPアドレスを使用する場合は、[追加] をクリックして、構成済みサーバーの一覧を表示します:

    インストールウィザード:ターゲット用のProvisioningサーバー インストールウィザード:ターゲット用のProvisioningサーバー インストールウィザード:ターゲット用のProvisioningサーバー

  13. 概要ページの情報を確認し、[完了] をクリックしてプロビジョニングプロセスを開始します。

    インストールウィザード:概要ページ インストールウィザード:プロビジョニングの開始

また、次のことを考慮してください:

  • [完了] をクリックすると、Citrix Virtual Apps and Desktopsウィザードが事前チェックを実行します。Citrix Provisioningは、十分なリソース(CPU、NIC、およびIPアドレス)が存在することを確認するためのテストを実行します。事前チェックが失敗した場合、エラーメッセージが表示されます。

    インストールウィザード:事前チェックエラー

  • Citrix Virtual Apps and Desktopsウィザードのプロセス中に、新しく作成されたVMが起動し、書き込みキャッシュディスクをフォーマットしてからシャットダウンします。このプロセスには数分かかります。この操作中にマシンがタイムアウトした場合、セットアッププロセスは失敗します。

  • デフォルトでは、200個のVMがバッチ操作で作成されます。

AzureでターゲットVMを手動で作成する

前のセクションで説明したように、Citrix Virtual Desktopsインストールウィザードを使用してターゲットVMを作成し、Citrix Virtual Apps and DesktopsおよびCitrix DaaSと統合することをお勧めします。Citrix Virtual Desktopsインストールウィザードを使用できない場合は、このセクションで概説されている手順に従うことで、ターゲットVMを手動でプロビジョニングできます。

Citrix Provisioningサーバーとターゲットは、AzureがサポートしていないためPXE起動とISO起動のどちらもサポートしていません。代わりに、ターゲットVMの起動は小さな起動ディスクであるBDM起動ディスク(最大約20MB)を使用します。これには、Citrix Provisioning UEFI起動アプリケーションが含まれています。

起動ディスクの作成

サーバーにインストールされているBoot Device Manager(BDM) プログラムを使用して、起動ディスクを作成します。次のように実行します:

  1. BDM.exeプログラムを実行します。

    C:\Program Files\Citrix\Provisioning Services\BDM.exe.
    <!--NeedCopy-->
    
  2. ログインサーバーを指定する:Provisioningサーバー情報を入力します。

    ログインサーバーを指定する

  3. 起動ディスクのVHDファイルを作成:[Device] フィールドで [Citrix VHD Image] を選択し、[Burn] をクリックします。

    起動デバイスの作成

ターゲットVMは、IPアドレスを指定せずに、DNS名を使用してProvisioningサーバーを見つけることもできます。まず、ストリーム配信ネットワーク上のCitrix Provisioningサーバーが使用するIPアドレスにマップするDNSエントリを作成します。次に、この名前を使用してCitrix Provisioningサーバーに接続するようにBDM起動ディスクを構成します。

Provisioningサーバーを見つけるためにDNS名を定義すると、BDM起動ディスクですべてのIPアドレスを構成せずにIPアドレスのリストを返せるため、高可用性(HA)につながります。この機能を使用するには、ストリーム配信ネットワーク上のProvisioningサーバーが使用する1つまたは複数のIPアドレスにマップするDNSエントリを作成します。この場合、BDM.exeプログラムを実行し、最初のページでProvisioningサーバーDNSのDNSホスト名を指定します。

ターゲットVMの作成

自分でVMをプロビジョニングする場合は、次の手順でターゲットVMを作成します:

  1. 上記の説明どおりにBDM起動ディスクを作成し、その起動ディスクをAzure Managed Disksにアップロードします。VHDをAzureにアップロードする手順については、管理対象ディスクへのVHDのアップロードを参照してください。

  2. 作成したBDM起動ディスクと、Provisioningサーバーにアクセスできるサブネットに接続した必要なサイズの空のキャッシュディスクを使用して、AzureにターゲットVMを作成します。AzureでのターゲットVMの作成を参照してください。

  3. Citrix Provisioningのターゲットデバイスを管理します。Provisioningコンソールを使用して各ターゲットVMを手動で追加するか、インポートウィザードを使用して手動でプロビジョニングしたVMを一括インポートできます。Azure Portal、Azureコマンドライン、またはAzure PowerShellコマンドを使用して、手動でプロビジョニングした各ターゲットVMの起動NICに割り当てられたMACアドレスを抽出します。

  4. 各VMを1回起動して、セットアップが完了していることを確認します。この起動中に、Citrix Provisioningはキャッシュディスクをフォーマットしてから、VMをシャットダウンします。シャットダウンしたら、Azure Portal、Azureコマンドライン、またはAzure PowerShellコマンドを使用してVMの割り当てを解除します。

注:

ネットワークがCitrix Provisioningサーバーに接続し、キャッシュディスク用に選択されたストレージタイプが標準SSD以上である場合は、リソースグループ、VNet、およびディスクタイプを選択できます。

顧客管理キーを使用したAzureサーバー側暗号化

AzureでのCitrix Provisioningは、お客様管理の暗号キーをサポートするようになり、各ターゲットデバイスに関連付けられているすべての管理対象ディスク(BDM起動ディスクとWBCディスク)を暗号化できるようになりました。このサポートにより、独自の暗号キーを使用してマシンカタログの管理対象ディスクを暗号化して、組織およびコンプライアンスの要件を管理できます。詳しくは、「Azure Disk Storageのサーバー側暗号化」を参照してください。

ディスク暗号化セット(DES)は、顧客が管理するキーを表します。テンプレート仮想マシンの起動ディスクにDES IDを割り当てます。このDESは、Citrix Virtual Apps and Desktopsインストールウィザードでターゲットがプロビジョニングされる際に作成されるすべてのディスクに適用されます。作成されるディスクには、BDM起動ディスクとWBCディスクも含まれます。また、ターゲットVMについてEncryption-At-Hostを選択すると、そのVMホスト自体で暗号化が開始されます。この暗号化は、Citrix Virtual Apps and DesktopsインストールウィザードでプロビジョニングされるすべてのターゲットVMにも適用されます。

手動で作成したターゲットとCitrix Virtual Apps and DesktopsおよびCitrix DaaSの統合

Studioにホスト接続を追加すると、リソースの場所に接続されます。Azure資格情報を指定すると、StudioはAzureアプリケーションIDとシークレットを作成します。Citrix DaaSは、これらのAzure資格情報を使用して、リソースの場所にあるVMを制御します。プロビジョニングの[デバイスのエクスポート]ウィザードは、このホスト接続からのデータを使用して、ブローカーカタログの作成を支援します。

Citrix Virtual Apps and DesktopsおよびCitrix DaaSと統合するには:

  1. Citrix Provisioningコンソールからデバイスのエクスポートウィザードを起動します。
  2. [次へ] をクリックしてウィザードを開始します。

    デバイスのエクスポートウィザードの起動

  3. [Citrix Virtual Desktops Controller] 画面で、Delivery Controllerの種類を選択します。

    1. [Citrix Cloud] を選択した場合 :

      Citrix Cloud Desktop Delivery Controllerエクスポートウィザード

      1. Citrix Cloudの資格情報を入力します。

        Citrix Cloudにサインインします。

      2. 複数の顧客がいる場合は、適切なCloudの顧客を選択します。

        Citrix Cloudの顧客を選択します。

    2. [顧客管理コントロールプレーン] を選択した場合 :

      Citrix Cloud Desktop Delivery Controller Citrix Virtual Apps and Desktopsインストールウィザード

      1. コントローラーのホスト名またはアドレスを入力します。ウィザードでは、現在ログインしているユーザーを使用して、Delivery Controllerへの認証を行います。
  4. [デバイスの種類]をクリックしてエクスポートします。[次へ] をクリックします。[仮想デバイス] を選択すると、ウィザードでホストリソース画面が表示されます。この画面ではホストまたはハイパーバイザーをクリックできます。物理デバイスの場合、ウィザードではActive Directoryとコレクションの選択画面はスキップされます。

    デバイスタイプの選択

  5. [Citrix Virtual Desktopsホストリソース] 画面で、[Azureホスティングユニット]を選択します。[次へ] をクリックします。
  6. Azure APIを操作するためのサービスプリンシパル(SPN)を確立します。SPNには2つのコンポーネントがあります:

    • アプリケーションID(サービスプリンシパルを一意に識別するGUID(グローバル一意識別子))。

    • アプリケーションシークレット。

    SPNを指定するには、次の2つの選択肢があります:

    • ホスティングユニットには、構成済みのアプリケーションIDがあります。インストールウィザードは、このアプリケーションの新しいシークレットを生成できます。ただし、ホスティングユニットに保存されているアプリケーションIDを最初に作成したユーザーの資格情報が必要です。以下のとおりに続行します:

      1. [Virtual Apps and Desktopsホストリソースに関連付けられているサービスプリンシパルを使用する] を選択し、[アプリケーションシークレットの生成] をクリックします。新しいシークレットの有効期間は1日です。また、シークレットは[デバイスのエクスポート]ウィザード実行の最後でも削除されます。

        エクスポートインストールウィザード:アプリケーションシークレット

      2. アプリケーションの作成に使用したものと同じ資格情報を使用して、Azureにサインインします。別の資格情報を使用すると、エラーが発生します。

        エクスポートインストールウィザード:サインイン

        このプロセスにはかなりの時間がかかる場合があります。ハングしていると思われる場合は、キャンセルボタンを押して中止できます。キャンセルすると、認証情報を生成または入力するための画面に戻ります。

      3. 成功すると、シークレットはアスタリスク(*)で表示されます。[OK] をクリックして続行します。

    • 以前に独自のSPNを作成した場合:

      1. [使用するサービスプリンシパル資格情報の入力] を選択し、アプリケーションIDとシークレットを入力します。[資格情報のテスト] をクリックします。

        SPNが有効な場合、緑色のチェックマークが [テスト] ボタンの横に表示されます。

        エクスポートインストールウィザード:サービスプリンシパル資格情報

      2. [OK] をクリックして続行します。

  7. エクスポートするActive Directoryドメインとコレクションをクリックします。[次へ] をクリックします。

    Active Directoryドメインとコレクションの選択

  8. リストを使用してVDAのバージョンを選択します。デバイスは、マシンカタログを参照してDelivery Controllerに登録する必要があります。[次へ] をクリックします。

    ヒント:

    表示されているすべてのデバイスは、単一のCitrix Virtual Apps and Desktopsカタログにエクスポートされます。このリストでデバイスを選択することはできません。

    VDAバージョンを選択

  9. マシンカタログの設定をクリックします。カタログを作成している場合は、名前を指定し、必要に応じて説明を含めます。[次へ] をクリックします。

    マシンカタログの設定

  10. オペレーティングシステムをクリックします。[次へ] をクリックします。

    オペレーティングシステムの選択

  11. 仮想デスクトップのユーザーエクスペリエンスを設定します。[次へ] をクリックします。

    ユーザーエクスペリエンスの選択

  12. [概要] 画面の [完了] を選択して、ウィザードプロセスを完了します。

    [概要]画面

    注:

    仮想ホスティングプールのデータは、[概要]画面に追加されません。

Azure資格情報の更新

このセクションの情報を使用して、Citrix Provisioningコンソールの[ホストのプロパティ]を介してAzure資格情報を更新します。

注:

資格情報が更新されても、Azureでは古いシークレットは削除されません。

  1. Citrix Provisioningコンソールで、[ホスト] ノードをクリックします。
  2. 仮想ホストレコードを右クリックしてコンテキストメニューを表示します。
  3. コンテキストメニューで、[プロパティ] をクリックします。[仮想ホスト接続]プロパティの [全般] タブが表示されます。Azureのホストの種類について、[種類][Microsoft Azure] として表示されていることを確認します。

    仮想ホスト接続プロパティ:[全般]タブ

  4. [資格情報] タブをクリックします。[アプリケーションID][アプリケーションシークレット] は事前に入力されており、無効になっています。

    仮想ホスト接続プロパティ:[全般]タブ

  5. [資格情報の更新] をクリックして、[Azure資格情報]ダイアログボックスを開きます。資格情報を更新するには、次の2つの選択肢があります:
    • Virtual Apps and Desktopsホストリソースに関連付けられたサービスプリンシパルを使用します
      1. このオプションを選択します。デフォルトでは、資格情報UIDがデータベースに保存されている場合、このオプションが選択されています。
      2. [アプリケーションシークレットの生成] をクリックします。
      3. 新しいシークレットが生成されたら、[OK] をクリックします。[ホストのプロパティ]ダイアログで、[アプリケーションシークレット] が新しいシークレットに更新されます。[接続の確認] ボタンが無効になっています。
      4. [ホストのプロパティ]ダイアログで、[OK] をクリックして、新しい資格情報をデータベースに保存します。[キャンセル] をクリックすると、新しく生成されたシークレットがAzureで削除されます。

      ヒント:

      生成されたシークレットは1年間有効です。シークレットはCitrix Provisioningデータベースに保存され、電源管理操作に使用されます。このウィザードまたは Citrix Virtual Apps and Desktopsインストールウィザードを選択して、有効期限が切れたときにシークレットを更新できます。

    • 使用するサービスプリンシパルの資格情報を入力します

      仮想ホスト接続プロパティ:[全般]タブ

      1. このオプションを選択します。デフォルトでは、資格情報UIDがデータベースに保存されていない場合、このオプションが選択されています。
      2. アプリケーションIDとシークレットを入力します。
      3. [資格情報のテスト] をクリックします。

        SPNが有効な場合、緑色のチェックマークが [テスト] ボタンの横に表示されます。

      4. [OK] をクリックします。[ホストのプロパティ]ダイアログで、[アプリケーションID][アプリケーションシークレット] が新しい資格情報に更新されます。[接続の確認] ボタンが無効になっています。
      5. [ホストのプロパティ]ダイアログで、[OK] をクリックして、新しい資格情報をデータベースに保存します。

AzureのターゲットVMの削除

削除機能により、Citrix Virtual Desktopsインストールウィザードを介してプロビジョニングされたAzureターゲットVMが、以下から削除されます:

  • Hypervisor
  • Provisioningサーバーデータベース
  • ターゲットデバイスで作成または関連付けられたActive Directoryアカウント
  • Citrix Cloud Connectorからのマシンカタログエントリ。

Citrix Provisioningコンソールでは、[デバイスコレクション] または [ビュー] からデバイスを個別に選択して、ターゲットVMを削除、またはデバイスコレクション全体を削除できます。

ターゲットVMを削除するには:

  1. [デバイスコレクション] または [ビュー] からデバイスを選択し、右クリックしてコンテキストメニューを表示します。
  2. コンテキストメニューで、[削除] をクリックします。

    注:

    選択したデバイスのいずれかがアクティブな場合、エラーが表示されます。デバイスを個別に選択した場合、[削除] オプションは使用できません。デバイスコレクション全体を選択して [削除] をクリックすると、エラーメッセージが表示されます。

    ターゲットデバイスのいずれかがAzure VMの場合、次のUIが表示されます:

    • デバイスを個別に選択する場合:

      AzureターゲットVMの削除:個々のVMの削除

    • デバイスコレクション全体を選択した場合:

      AzureターゲットVMの削除:VM全体の削除

  3. デフォルトでは、ターゲットデバイスはCitrix Provisioningデータベース、Azure、およびCitrix Virtual Apps and Desktopsマシンカタログから削除されます。チェックボックスをオンにして、他の関連付けのデバイスレコードを削除します。次に、[概要]セクションが更新されます。
  4. [削除]をクリックします。
  5. Citrix Cloud資格情報を入力し、顧客を選択します。

    AzureターゲットVMの削除:Citrix Cloudログイン

    [削除]ダイアログの[概要]テキスト領域は、削除のステータスに更新されます。

  6. 削除プロセスが完了したら、[完了] をクリックして[削除]ダイアログボックスを閉じます。[ログの表示] をクリックして、削除プロセスのステータスを確認したり、ログファイルを保存したりすることもできます。

削除プロセスのトラブルシューティング

  • 複数のターゲットデバイスが選択されている場合、[削除] オプションは表示されません。

    ターゲットデバイスがアクティブでないことを確認します。ターゲットデバイスがアクティブな場合は、Citrix Provisioningコンソールからデバイスをシャットダウンしてもう一度試してください。

  • [削除]ダイアログボックスには、Azure VMが削除されたと表示されますが、リソースグループにはまだVMがあります。

    AzureにVMを削除する時間を与えます。VMがまだリソースグループにある場合は、VMを手動で削除します。

  • マシンエントリは、Citrix Virtual Apps and Desktopsカタログから削除されません。

    • DDCが応答していることを確認してください。次のコマンドを実行して確認できます:

      asnp citrix.*
      cd XdHyp:\HostingUnits
      dir
      <!--NeedCopy-->
      
    • ターゲットVMのSIDが欠落していないことを確認してください。次のコマンドを実行して確認できます:

      Import-Module 'C:\Program Files\Citrix\Provisioning Services Console\Citrix.PVS.SnapIn.dll'
      Get-PvsDevice
      <!--NeedCopy-->
      

      DomainObjectSIDを確認してください。

  • Active Directoryレコードは削除されません。

    ADアカウントがActive Directoryから削除されたがADレコードがCitrix Provisioningデバイスに存在するという場合、削除のプロセスでそのアカウントを見つけることができず、エラーが表示されます。ADユーザーとコンピューターをチェックし、そのアカウントが存在するかどうかを確認します。