Citrix Provisioning

请根据本节中的信息使用 Citrix Provisioning 控制台来配置场。本节提供以下元素的相关信息:

以下各表介绍并说明了场属性对话框的各个选项卡上的属性。

“常规”选项卡

字段 说明
名称 输入或编辑场名称。
说明 输入或编辑场说明。

“安全”选项卡

字段 说明
添加 单击添加可将场管理员权限应用到某个组。选中要对其应用场管理员只读权限的组旁边的每个复选框。
删除 选择要从管理员角色中删除的组。单击删除以删除所选组。

“组”选项卡

字段 说明
“添加”按钮 单击添加按钮可打开添加系统组对话框。要显示所有安全组,请将文本框设置为默认的 *。要显示组,请使用通配符 * 键入名称的一部分。例如,如果要查看 MY_DOMAIN\Builtin\Users,请键入:User*Usersser。但是,如果键入 MY_DOMAIN\Builtin\*,则将显示所有组,而不仅仅是 MY_DOMAIN\Builtin 路径中的组。选中此场中包含的每个组旁边的复选框。注意: 为提高效率,5.0 SP2 中引入了组过滤功能。
“删除”按钮 单击删除按钮可将现有组从场中删除。突出显示不施加权限的组。

“许可”选项卡

字段 说明
许可证服务器名称 在此文本框中键入 Citrix 许可证服务器的名称。
许可证服务器端口 键入许可证服务器使用的端口号,或者接受默认值(即 27000)。

“选项”选项卡

字段 说明
自动添加 使用此功能时,选择新目标设备所使用的站点。如果选择无默认站点,则将使用登录目标设备的相应 Citrix Provisioning 服务器的站点。如果场具有站点级别的 PXE/TFTP 服务器,则使用无默认站点设置。重要: 请在添加新目标设备时启用此功能。启用此功能会导致无需场管理员批准即可添加计算机。
审核 为场启用或禁用审核功能。
脱机数据库支持 启用或禁用脱机数据库支持选项。此选项允许场中的服务器在与数据库的连接断开的情况下使用数据库快照。

注意:

启用了客户体验改善计划 (CEIP) 的发送匿名统计信息和使用信息复选框不再可用。

“虚拟磁盘版本”选项卡

字段 说明
如果来自基础映像的版本数超出此值,则发出警报 设置在超出基础映像中的版本数时将发出的警报。
新合并版本的默认访问模式 选择合并完毕后虚拟磁盘版本的访问模式。选项包括:维护、测试(默认值)或生产。注意: 如果将访问模式设置为生产并且存在测试版本,则生成的自动合并版本的状态将自动设置为维护测试。如果存在维护版本,将不执行自动合并。
如果超出警报阈值,则在虚拟磁盘自动更新后合并 启用自动合并。如果数量或虚拟磁盘版本超出警报阈值,请启用自动合并功能。最小值为 3,最大值为 100。

“状态”选项卡

字段 说明
场的状态 提供数据库状态信息及有关所用组访问权限的信息。

“注册”选项卡

字段 说明
状态 提供有关场到 Citrix Cloud 的加入状态以及客户 ID 和名称的信息。
未注册的服务器 列出场中尚未注册到 Citrix Cloud 的服务器。在场中的所有服务器都注册到 Citrix Cloud 之前,该场无法加入 Citrix Cloud。

“加密”选项卡

只有在您选择将场加入到 Citrix Cloud 中之后,该选项卡才可用。使用此选项卡,您可以:

  • 监视数据库密钥轮换的状态
  • 查看正在等待密钥分发的 Citrix Provisioning 配服务器列表
  • 轮换加密密钥

密钥轮换会将新的数据库加密密钥分发给场中的所有 Citrix Provisioning 服务器。分发完成后,将使用这一新密钥对数据库进行重新加密。此过程可确保增强的数据库安全性。

字段 说明
状态 加密状态为“正在分发密钥”、“正在重新加密数据库”和“空闲”。
脱机服务器 列出场中处于脱机状态的服务器。

加密状态的说明如下:

正在分发密钥:这是密钥轮换的第一个状态。在这种状态下,新的数据库加密密钥正在与所有 Citrix Provisioning 服务器同步。在所有服务器都拥有最新的加密密钥之前,场将保持在“正在分发密钥”状态。要检索新的加密密钥,Citrix Provisioning 服务器:

  • 在获得新的加密密钥之前必须处于活动状态(即不得处于脱机状态)。获得新的加密密钥后,您可以将其关闭
  • 可以与 Citrix Cloud 通信以获取加密密钥

正在重新加密数据库:这是正在分发密钥之后的下一个状态。在此状态下,在场中的所有 Citrix Provisioning 服务器获得新加密密钥后,将使用这个新加密密钥重新加密数据库中的加密字段。

空闲:这是重新加密数据库后的下一个状态。此状态意味着密钥轮换过程已完成。当加密状态为空闲时,轮换加密密钥按钮处于启用状态。单击轮换加密密钥后,状态将更改为正在分发密钥

注意:

  • 每个加密密钥循环作业至少需要 5 到 10 分钟才能进入下一个状态。但是,如果存在脱机 Citrix Provisioning 服务器,该过程会延迟。
  • 即使场中的服务器立即获得新的加密密钥,您也可能会在正在等待分发的服务器列表中看到启动了密钥轮换的 Citrix Provisioning 服务器。等待大约 5 分钟,让该服务器完成其密钥轮换过程,之后它将移出列表。
  • 当状态为正在分发密钥正在重新加密数据库时,您无法在场中添加新 Citrix Provisioning 服务器。

使用 PowerShell 和 MCLI 命令轮换加密密钥

您现在可以使用 PowerShell 和 MCLI 命令来轮换加密密钥。在使用这些命令之前,请确保:

  • 场中的所有 Citrix Provisioning 服务器都已在 Citrix Cloud 中注册
  • 加密状态为空闲

使用 PvsPsSnapIn

  1. 打开 PowerShell 窗口。
  2. 安装 PowerShell 管理单元。Citrix.PVS.SnapIn.dll 的安装路径为: C:\Program Files\Citrix\Provisioning Services Console\Citrix.PVS.SnapIn.dll
  3. 运行 Start-PvsRotateEncryptionKeys 以启动密钥轮换过程。运行该命令后,密钥轮换状态将更改为正在分发密钥

    注意:

    如果您在密钥轮换状态为“Distributing Keys”或“Re-encrypting Database”时运行命令 Start-PvsRotateEncryptionKeys,则会出现错误,因为密钥轮换正在进行中,并且仅当密钥轮换状态为空闲时才能轮换密钥。

  4. 运行 Get-PvsKeyRotationPendingServers 命令以获取场中正在等待密钥分发的服务器以及处于脱机状态的服务器列表。

    注意:

    • 当密钥轮换状态为以下状态时:
      • 正在分发密钥,您会得到等待密钥分发的服务器列表。
      • 正在重新加密数据库空闲时,您会得到脱机服务器列表。
    • 即使场中的服务器立即获得新的加密密钥,您也可能会在正在等待分发的服务器列表中看到启动了密钥轮换的 Citrix Provisioning 服务器。等待大约 5 分钟,让该服务器完成其密钥轮换过程,之后它将移出列表。
  5. 打开脱机服务器。确保场中的服务器可以与 Citrix Cloud 通信以获取加密密钥。
  6. 密钥轮换过程完成后,密钥轮换的状态必须更改为空闲。运行命令 Get-PvsFarm 以验证密钥轮换状态。属性 EncryptionStatus 的值:

    • 0:空闲状态
    • 1:正在分发密钥
    • 2:正在重新加密数据库

注意:

每个加密密钥循环作业至少需要 5 到 10 分钟才能进入下一个状态。但是,如果有脱机 Citrix Provisioning 服务器和正在等待密钥分发的服务器,该过程会延迟。

使用 MCLI.exe:

  1. 打开 PowerShell 窗口。
  2. 运行 .\MCLI.exe Run CycleEncryptionKeys 以启动密钥轮换过程。运行该命令后,密钥轮换状态将更改为“Distributing Keys”。

    注意:

    如果您在密钥轮换状态为正在分发密钥正在重新加密数据库时运行命令 .\MCLI.exe Run CycleEncryptionKeys,则会出现错误,因为密钥轮换正在进行中,并且仅当密钥轮换状态为空闲时才能轮换密钥。

  3. 运行 .\MCLI.exe Get PendingServers 命令以获取场中正在等待密钥分发的服务器以及处于脱机状态的服务器列表。

    注意:

    • 当密钥轮换状态为以下状态时:
      • 正在分发密钥,您会得到等待密钥分发的服务器列表。
      • 正在重新加密数据库空闲时,您会得到脱机服务器列表。
    • 即使场中的服务器立即获得新的加密密钥,您也可能会在正在等待分发的服务器列表中看到启动了密钥轮换的 Citrix Provisioning 服务器。等待大约 5 分钟,让该服务器完成其密钥轮换过程,之后它将移出列表。
  4. 打开脱机服务器。确保场中的服务器可以与 Citrix Cloud 通信以获取加密密钥。
  5. 密钥轮换过程完成后,密钥轮换的状态必须更改为空闲。运行命令 .\MCLI.exe Get Farm -f 以验证密钥轮换状态。属性 EncryptionStatus 的值:

    • 0:空闲状态
    • 1:正在分发密钥
    • 2:正在重新加密数据库

注意:

每个加密密钥循环作业至少需要 5 到 10 分钟才能进入下一个状态。但是,如果有脱机 Citrix Provisioning 服务器和正在等待密钥分发的服务器,该过程会延迟。

使用 McliPsSnapIn:

  1. 打开 PowerShell 窗口。
  2. 安装 PowerShell 管理单元Citrix.PVS.SnapIn.dll 的安装路径为: Import-Module "C:\Program Files\Citrix\Provisioning Services Console\McliPSSnapIn.dll"
  3. 运行 Mcli-Run CycleEncryptionKeys 以启动密钥轮换过程。运行该命令后,密钥轮换状态将更改为正在分发密钥

    注意:

    如果您在密钥轮换状态为正在分发密钥正在重新加密数据库时运行命令 Mcli-Run CycleEncryptionKeys,则会出现错误,因为密钥轮换正在进行中,并且仅当密钥轮换状态为空闲时才能轮换密钥。

  4. 运行 Mcli-Get PendingServers 以获取场中正在等待密钥分发的服务器以及处于脱机状态的服务器列表。

    注意:

    • 当密钥轮换状态为以下状态时:
      • 正在分发密钥,您会得到等待密钥分发的服务器列表。
      • 正在重新加密数据库空闲时,您会得到脱机服务器列表。
    • 即使场中的服务器立即获得新的加密密钥,您也可能会在正在等待分发的服务器列表中看到启动了密钥轮换的 Citrix Provisioning 服务器。等待大约 5 分钟,让该服务器完成其密钥轮换过程,之后它将移出列表。
  5. 打开脱机服务器。确保场中的服务器可以与 Citrix Cloud 通信以获取加密密钥。
  6. 密钥轮换过程完成后,密钥轮换的状态必须更改为空闲。运行命令 Mcli-Get Farm 以验证密钥轮换状态。属性 EncryptionStatus 的值:

    • 0:空闲状态
    • 1:正在分发密钥
    • 2:正在重新加密数据库

注意:

每个加密密钥循环作业至少需要 5 到 10 分钟才能进入下一个状态。但是,如果有脱机 Citrix Provisioning 服务器和正在等待密钥分发的服务器,该过程会延迟。

使用控制台配置场

创建场、在现有场中添加新 Provisioning 服务器或者重新配置现有 Provisioning 服务器时,请在 Provisioning 服务器上运行配置向导。

如果场中的所有 Provisioning 服务器共享配置设置(例如站点和存储信息),请考虑 无提示运行配置向导

启动配置向导

安装 Citrix Provisioning 软件后将自动启动配置向导。也可以通过选择开始 > 所有程序 > Citrix > Citrix Provisioning > Citrix Provisioning 配置向导来启动该向导。

配置向导设置

运行配置向导前,请做好准备进行以下选择:

注意:

如果在处理过程中出现错误,日志将写入到 ConfigWizard.log 文件中,该文件位于 C:\ProgramData\Citrix\Citrix Provisioning。

提示:

配置向导在版本 7.12 中已修改为支持 Linux 流技术推送功能。有关 Linux 流技术推送组件的信息,请参阅“安装”一文。

网络拓扑

完成以下网络配置步骤。

  1. 选择用于提供 IP 地址的网络服务

    注意:请尽可能使用现有网络服务。如果无法使用现有网络服务,请在安装过程中选择安装可用的网络服务。

    要为目标设备提供 IP 地址,请从以下网络服务选项中进行选择:

    • 如果动态主机配置协议 (DHCP) 服务在此服务器上,请从下面的网络服务中选择要使用的一项服务旁边的单选按钮,然后单击下一步
      • Microsoft DHCP
      • Citrix Provisioning BOOTP 服务
      • 其他 BOOTP 或 DHCP 服务
    • 如果 DHCP 服务不在此服务器上,请选择 The service is running on another computer(此服务正在其他计算机上运行)旁边的单选按钮,然后单击 Next(下一步)。
  2. 选择用于提供 PXE 地址的网络服务

    每个目标设备将从 TFTP 服务器下载一个引导文件。

    选择用于为目标设备提供 PXE 引导信息的网络服务:

    • 如果使用 Citrix Provisioning 来交付 PXE 引导信息,请选择在此计算机上运行的服务。然后从以下选项之一进行选择,再单击下一步
      • Microsoft DHCP(选项 66 和 67)
      • Citrix Provisioning PXE 服务
    • 如果 Citrix Provisioning 不交付 PXE 引导信息,请选择 The information is provided by a service on another device(此信息由其他设备上的服务提供)选项,然后单击下一步

确定场

  1. 从以下场选项中进行选择:
    • 已配置场

      1. 场配置对话框中,选择选项已配置场,然后单击下一步。仅当先前已在此服务器上配置了场时,才会显示此选项。
      2. 在弹出对话框中输入数据库管理员凭据。如果要使用当前登录名,请选择 Active Directory 集成身份验证。单击确定

        数据库管理员凭据

      3. 继续执行配置用户帐户设置过程。
    • 创建场

      1. 场配置对话框中,选择选项创建场,然后单击下一步
      2. 数据库服务器对话框中,
        1. 使用浏览按钮浏览到网络中的现有 SQL 数据库和实例,或者键入数据库服务器名称和实例。

          本地数据库服务器对话框

          注意:

          数据库名称和场名称的字符数总和不得超过 54。在此类情况下,场名称会在现有场屏幕中显示为截断条目。

        2. 要为 SQL Server 启用多子网故障转移,请指定数据库镜像故障转移伙伴,或者输入 TCP 端口号,单击连接选项…
        3. 如果要使用服务的用户帐户,请选择 Active Directory 集成身份验证。输入 Stream 和 SOAP 服务将使用的数据库凭据。
        4. 单击下一步
      3. 在弹出对话框中输入数据库管理员凭据。如果要使用当前登录名,请选择 Active Directory 集成身份验证。单击确定

        数据库管理员凭据

      4. 选择数据库位置。
    • 加入现有场

      1. 场配置对话框中,选择选项加入现有场以将此 Provisioning 服务器添加到现有场中,然后单击下一步
      2. 数据库服务器对话框中:
        1. 使用浏览按钮浏览到网络中相应的 SQL 数据库和实例。 本地数据库服务器对话框

        2. 选择默认显示的场名称,或者滚动浏览场列表,选择要加入的场。 注意:每台服务器上可以存在多个场。此配置在测试实现中常见。
        3. 要为 SQL Server 启用多子网故障转移,请指定数据库镜像故障转移伙伴,或者输入 TCP 端口号,单击连接选项…
        4. 如果要使用服务的用户帐户,请选择 Active Directory 集成身份验证。输入 Stream 和 SOAP 服务将使用的数据库凭据。
        5. 单击下一步
      3. 在弹出对话框中输入数据库管理员凭据。如果要使用当前登录名,请选择 Active Directory 集成身份验证。单击确定

        数据库管理员凭据

      4. 从以下站点选项中进行选择,然后单击下一步
        • 现有站点:从菜单中选择站点,以加入现有站点。
        • 新站点:通过键入新站点和集合的名称来创建站点。
      5. 继续执行以配置用户帐户设置。

确定数据库

一个场中只存在一个数据库。要确定数据库,请执行以下操作:

  1. 如果尚未选择数据库服务器的位置和实例,请完成以下过程。

    1. 数据库服务器对话框中,单击浏览打开 SQL Server 对话框。
    2. 从 SQL Server 列表中,选择此数据库所在的服务器的名称。指定要使用的实例(要使用默认实例 SQLEXPRESS,请将实例名称留空)。在测试环境中,此配置是暂存数据库。 注意: 重新运行配置向导以添加额外的 Provisioning 服务器数据库条目时,请填充服务器名称实例名称文本框。默认情况下,SQL Server Express 将作为名为 SQLEXPRESS 的实例安装。
    3. 如果要使用服务的用户帐户,请选择 Active Directory 集成身份验证。输入 Stream 和 SOAP 服务将使用的数据库凭据。
    4. 单击下一步。如果此数据库是新场,请继续执行定义场过程。
  2. 将数据库更改为新数据库

    1. 在旧数据库服务器上,将数据库备份到文件中。
    2. 在新数据库服务器上,从备份文件还原数据库。
    3. 在每个 Citrix Provisioning 服务器上运行配置向导。
    4. 场配置对话框中选择加入现有场
    5. 数据库服务器对话框中,输入新数据库服务器和实例。
    6. 如果要使用服务的用户帐户,请选择 Active Directory 集成身份验证。输入 Stream 和 SOAP 服务将使用的数据库凭据。
    7. 现有场对话框中,选择还原的数据库。
    8. 站点对话框中,选择 Provisioning 服务器先前所属的站点。
    9. 单击下一步,直至配置向导完成。
  3. 定义场。选择要使用的安全组:

    • 使用 Active Directory 组以确保安全 注意:从菜单中选择要用作场管理员的 Active Directory 组时,选项包括当前用户所属的任何组。此列表中包括内置组,这些组位于当前计算机本地。除测试环境外,应避免使用这些组作为管理员。某些组祖名可能具有误导性,这些组名称看起来是域组,而实际上是本地域组。例如,ForestA.local/Builtin/Administrators
    • 使用 Windows 组保证安全
  4. 单击下一步

    继续执行“选择许可证服务器”过程。

为新场创建存储

可以创建新存储并将其分配给所配置的 Citrix Provisioning 服务器:

注意: 配置向导只允许数据库中不存在的新服务器创建存储或加入现有存储。如果服务器存在于数据库中并重新加入场中,则配置向导可能会提示用户加入存储或创建存储。在此过程中,该选择将被忽略。

  1. 新存储页面上,为新存储命名。
  2. 浏览或输入用于访问此存储的默认路径(例如 C:\PVSStore),然后单击下一步。如果选择的路径无效,系统将显示一条错误消息。重新输入一个有效路径,然后继续进行操作。该存储的默认写入缓存位置位于存储路径下,例如:C:\PVSStore\WriteCache。

确定站点

加入现有场时,确定此 Provisioning 服务器所属的站点。通过创建站点或选择场中的现有站点来确定站点。创建某个站点后,系统将自动为该站点创建默认的目标设备集合。

加入 Citrix Cloud

可以选择将您的场加入 Citrix Cloud。加入时,必须将场中的所有服务器注册到 Citrix Cloud。

注意:

  • 当场未加入 Citrix Cloud 时,会出现 Citrix Cloud 页面。如果选择将您的场加入 Citrix Cloud,您将不会再看到此页面。
  • 如果要还原为未加入云的场,则必须重新创建该场。

Citrix Cloud 页面上,

  1. 选择加入 Citrix Cloud,然后单击下一步
  2. 在弹出消息中单击以确认您的操作。

在 Citrix Cloud 中注册

如果您需要将 Citrix Provisioning 服务器注册到 Citrix Cloud,则会出现此页面。

  1. 查看 Cloud Registration(云注册)页面。如果这是要注册的第一台服务器,则该页面必须表明尚未为该场建立任何客户。否则,您可以在页面上看到客户 ID。
  2. 单击下一步开始向 Citrix Cloud 注册。此时将出现一条消息,表明配置向导正在注册。

注意:

如果注册不成功或注册失效,您将返回到此页面,系统将提示您重新注册 Citrix Provisioning 服务器。

确认 Citrix Cloud 注册

  1. 按照“确认 Citrix Cloud 注册”页面中提供的说明进行操作。

    注意:

    如果这不是要注册的第一台服务器,请务必使用与第一台服务器相同的客户帐户登录。

  2. 确认注册后,页面将在您确认注册后自动关闭。

注意:

如果在注册了所有其他服务器后删除未注册的 Citrix Provisioning 服务器,则将所有服务器注册到 Citrix Cloud 的过程未完成,并且服务器场的状态仍处于部分加入状态。要解决此问题,请在任何加入到 Citrix Cloud 的 Citrix Provisioning 服务器上运行配置向导。选择已配置场选项。

选择许可证服务器

  1. 输入许可证服务器的名称(或 IP 地址)和端口号(默认值为 27000)。Provisioning 服务器必须能够与许可证服务器通信,以便获得相应的产品许可证。
  2. (可选)选中 Validate license server version and communication(验证许可证服务器版本和通信)复选框。此选项将验证许可证服务器能否与此服务器通信以及使用的许可证服务器版本是否正确。如果服务器无法与该许可证服务器通信,或者所使用的许可证服务器版本不正确,则将显示一条错误消息。您无法继续操作。
  3. 单击下一步继续执行“配置用户帐户设置”过程。

配置用户帐户设置

Stream Service 和 SOAP Service 在用户帐户下运行。要向用户帐户提供数据库访问权限,请使用配置向导自动配置数据读取者和数据写入者数据库角色。

  1. 用户帐户对话框中,选择将用来运行 Stream Service 和 SOAP Service 的用户帐户:
    • 网络服务帐户(在网络上作为计算机域计算机帐户进行身份验证的本地帐户,具有最低权限)。
    • 指定的用户帐户(使用 Windows 共享时需要;工作组或域用户帐户)。在相应的文本框中键入用户名、域和密码信息。
  2. 单击下一步,然后继续为 Stream Service 选择网卡。

组托管服务帐户

Citrix Provisioning 支持组托管服务帐户 (gMSA)。这些帐户是托管域帐户,可在多个服务器上提供自动密码管理和简化的 SPN 管理功能。

组托管服务帐户

部署证书

如果要执行以下操作,则必须为场中的所有服务器选择一个证书:

  • 将您的场加入 Citrix Virtual Apps and Desktops 站点
  • 对 Linux 目标使用映像向导
  • 使用 Citrix Provisioning API 预配目标

使用 Citrix Provisioning 配置向导从本地计算机个人证书(我的)存储中添加相应的证书。

注意:

我们建议使用 CA 签名的证书,但如有必要,可以使用自签名证书。

要部署证书,请执行以下操作:

  1. 将证书导入到 Citrix Provisioning 服务器上的 My 存储中。
  2. 将证书的信任根证书安装到建立连接的客户端计算机(PVSAPI、映像的 Linux 计算机和 Citrix Virtual Apps and Desktops Delivery Controller)的可信根存储中。

注意:

操作集取决于您使用的是 CA 签名的证书还是自签名证书。

  1. 运行配置向导。在 SSL 配置页面上,选择要使用的证书。

使用 CA 签名的证书

CA 签名的证书必须同时包括公钥和私钥,并且私钥必须可导出。

  1. 将证书导入到 Citrix Provisioning 服务器上的 My 存储中。

    Import-Certificate -FilePath <crt file> -CertStoreLocation Cert:\LocalMachine\My
    <!--NeedCopy-->
    
  2. 如果证书颁发机构根证书不在每台客户端计算机的可信根存储 (Cert:\LocalMachine\Root) 中,则会将其添加到所有客户端计算机上。但是,使用公共 CA 签名的证书时,通常不需要执行此步骤。

使用自签名证书

  1. 创建自签名证书。

    $cert = New-SelfSignedCertificate -DnsName $PVS_SERVER_FQDN -CertStoreLocation cert:\LocalMachine\My
    $cert_thumbprint = $cert.Thumbprint
    <!--NeedCopy-->
    

    注意:

    创建证书时,可以指定多个 -DnsName,用逗号分隔。这会在证书中添加使用者备用名称,每个名称对应一个 DnsName。使用 PVS API 时,可以使用这些名称中的任何一个名称进行连接。示例:可以使用 -DnsName “servername.domain”, “servername”。然后,使用 PVS API 与 -PvsServerAddress “servername.domain” 或 -PvsServerAddress “servername” 建立连接。

  2. 在没有私钥的情况下将证书导出到 .cer 文件。

    Export-Certificate -Cert $cert -FilePath $CERT_FILE
    <!--NeedCopy-->
    
  3. 在每台客户端计算机上,将导出的自签名证书导入到客户端上的 Cert:\LocalMachine\Root 可信根存储中。

    $file = ( Get-ChildItem -Path $CERT_FILE )
    $file | Import-Certificate -CertStoreLocation Cert:\LocalMachine\Root
    <!--NeedCopy-->
    

使用配置向导部署证书

使用 Citrix Provisioning 配置向导从本地计算机个人证书(我的)存储中添加相应的证书。

SSL 配置页面显示在 Citrix Provisioning 服务器上导入到我的存储的证书。

Soap SSL 配置

提示:

Soap SSL 配置页面首次加载时,将突出显示该证书,这样将提供表示选中的外观。确保证书已选中,该证书在表中显示为蓝色项目。

为 Stream Service 选择网卡

  1. 选中 Stream Service 可以使用的每个网卡旁边的复选框。
  2. 在“第一个通信端口:”文本框中输入将用于网络通信的基础端口号。

    注意:

    此范围内至少需要 20 个端口。场中的所有 Provisioning 服务器必须使用相同的端口分配。

  3. 选择用于进行控制台访问的 SOAP 服务器端口(默认值为 54321),然后单击下一步

继续执行“选择引导服务器”过程。

配置引导服务器

  1. 选择引导服务器。要在此 Provisioning 服务器上使用 TFTP 服务,请执行以下操作:
    1. 选择 Use the TFTP Service(使用 TFTP 服务)选项,然后输入或浏览到引导文件。默认位置为:C:\Documents and Settings\All Users\ProgramData\Citrix\Provisioning Services\Tftpboot

      如果在该服务器上安装了早期版本的 Citrix Provisioning,则默认位置为:

      C:\Program Files\Citrix\Provisioning Services\TftpBoot

      运行配置向导以将默认位置更改为:

      C:\Documents and Settings\All Users\ProgramData 或 ApplicationData\Citrix\Provisioning Services\Tftpboot

      如果不更改默认位置,则将无法从 Citrix Provisioning 控制台配置引导文件,且目标设备将无法引导。此时将显示消息“Missing TFTP”(缺少 TFTP)。

    2. 单击下一步

  2. 选择用于引导过程的 Provisioning 服务器
    1. 使用添加按钮将更多 Provisioning 服务器添加到列表中。使用编辑按钮编辑现有信息,或从列表中删除服务器。可以使用上移下移按钮更改服务器的引导优先顺序。服务器名称中最多只能包含 15 个字符。请勿输入 FQDN 作为服务器名称。在高可用性实现中,必须至少选择两个 Provisioning 服务器作为引导服务器。

    2. (可选)突出显示用于引导目标设备的 Provisioning 服务器的 IP 地址,然后单击高级。此时将显示高级流服务器引导列表

      下表介绍了可以选择的高级设置。进行选择后,单击确定退出对话框,然后单击下一步继续操作。

    • 详细模式: 如果要监视目标设备上的引导过程(可选)或查看系统消息,请选择“详细模式”选项。
    • 中断安全模式: 如果在引导过程早期遇到目标设备故障问题,请选择中断安全模式。此选项可以对发生时序或引导行为问题的目标设备驱动程序进行调试。
    • 高级内存支持: 此设置允许引导程序支持更高版本的 Windows 操作系统;默认情况下,此设置处于启用状态。在不支持 PXE 的 Windows Server 操作系统 32 位版本上禁用此设置。或者如果您的目标设备在早期引导阶段挂起或操作不正常。
    • 网络恢复方法:
      • 恢复网络连接: 选择此选项时,目标设备将无限期地尝试恢复与 Provisioning 服务器之间的连接。

        注意:

        选择恢复网络连接选项后,由于字段不适用,该字段将变为非活动状态。

      • 重新引导至硬盘驱动器:(目标设备上必须存在硬盘驱动器)。选择此选项时,目标设备将在重新建立通信失败后的指定秒数后执行硬件复位,以强制进行重新启动。用户将确定重新启动前的等待时间(秒)。假定无法建立网络连接,PXE 将失败,系统将重新引导至本地硬盘驱动器。默认时间为 50 秒,与高可用性配置兼容。
    • 登录轮询超时: 输入两次重试轮询 Provisioning 服务器的时间间隔(毫秒)。系统将按顺序向每台服务器发送登录请求包。将使用第一台响应服务器。在非高可用性配置中,此超时值仅定义了以初始登录请求重试登录单个可用服务器的频率。此超时定义了循环例程在尝试查找活动服务器时从一台服务器切换到另一台服务器的速度有多快。有效值范围为 1000 到 60000 毫秒。
    • 登录常规超时: 输入所有与登录相关的数据包的超时值(毫秒),但初始登录轮询超时值除外。此超时时间比轮询超时时间长,因为服务器需要时间联系所有关联的服务器,而其中某些服务器无法联系。无法访问的服务器需要多次重试,并且从 Provisioning 服务器切换到其他 Provisioning 服务器也需要超时时间,以确定这些服务器是否处于联机状态。有效值范围为 1000 到 60000 毫秒。
  3. 请确认所有配置设置均正确,然后单击完成

可以通过在控制台中从 Provisioning Services 的操作菜单选择配置引导程序选项,重新配置引导程序配置。

完成配置

完成页面上,有关服务器注册的其他数据将显示在摘要部分中。

  1. 运行配置向导以配置场中的所有服务器。
  2. 配置完成后,在“完成”页面上单击完成

验证 Citrix Provisioning 服务器的注册

要验证 Citrix Provisioning 服务器的注册,请执行以下操作:

  1. 登录到 <customer>.cloud.com
  2. 转到身份识别和访问管理 > API 访问 > 产品注册。您可以看到当前的注册情况。

还原数据库

如果您在创建备份与还原数据库之间轮换密钥,则在使用增强的数据库加密时,可以从备份中还原数据库。

注意:

  • 只有将场加入到 Citrix Cloud 后才能使用增强的加密。
  • 数据库加密密钥每 24 小时在 Citrix Cloud、Citrix Provisioning 服务器的注册表与数据库之间同步一次。

要在使用增强的加密时还原数据库,请执行以下操作:

  1. 当密钥轮换状态为空闲时,请使用 SQL Server Management Studio 创建数据库的备份。
  2. 还原数据库。

    1. 如果正在进行密钥轮换,请等待密钥轮换状态变为空闲
    2. 停止场中的所有 Citrix Provisioning 服务器上的所有 Citrix Provisioning Services - SOAP、流进程和 Citrix Provisioning API。此操作可确保所有与数据库的活动连接都已关闭。
    3. 请使用 SQL Server Management Studio 还原数据库。
  3. 在线获取 Citrix Provisioning 服务器。

    1. 在场中的所有服务器上运行配置向导。单击完成后,系统会显示一条提示,指出数据库已还原,需要轮换密钥。单击确定
  4. 请使用以下方法之一轮换密钥:

    • 转到 Citrix Provisioning 控制台 > 场 > 属性 > 加密选项卡。有关详细信息,请参阅“加密”选项卡

      注意:

      启动 Citrix Provisioning 控制台后,场图标将替换为警告图标。场 > 属性常规加密状态选项卡还会显示一条警告消息,指出数据库已还原,需要轮换密钥。轮换密钥后,警告图标和消息将消失。

    • 使用 PowerShell 命令 Start-PvsRotateEncryptionKeys。有关详细信息,请参阅使用 PowerShell 和 MCLI 命令轮换加密密钥