基础设施服务
有一项 Windows 基础设施服务:Citrix WEM Infrastructure Service(NT SERVICE\Citrix WEM Infrastructure Service)。它管理 Workspace Environment Management (WEM) 基础设施服务。帐户:LocalSystem 或属于运行基础设施服务的基础设施服务器上管理员用户组的指定用户帐户。
安装基础设施服务
重要:
- 无法在域 Controller 上安装基础设施服务。Kerberos 身份验证问题会阻止基础设施服务在这种情况下工作。
- 请勿在安装了 Delivery Controller 的服务器上安装基础设施服务。
使用数据收集通知:
- 默认情况下,基础设施服务每晚都会收集关于 WEM 使用情况的匿名分析,并通过 HTTPS 将其立即发送到 Google Analytics 服务器。Analytics 收集符合 Citrix 隐私政策。
- 在安装或升级基础设施服务时,默认情况下会启用数据收集。要选择退出,请在 WEM Infrastructure Service 配置对话框高级设置选项卡中,选择 不帮助使用 Google Analytics 改进 Workspace Environment Management 选项。
要安装基础架构服务,请在基础架构服务器上运行 Citrix Workspace Environment Management Infrastructure Services.exe。PowerShell 软件开发工具包模块是默认安装的。默认情况下,基础架构服务安装到以下文件夹中:C:\Program Files (x86)\Citrix\Workspace Environment Management Infrastructure Services。有关 SDK 文档,请参阅 Citrix Developer 文档。
您可以选择静默安装或升级基础架构服务。例如:
-
.\Citrix Workspace Environment Management Infrastructure Services.exe
/quiet BrokerLocation="C:\test\Infrastructure Services" /log "C:\test\test.log" -
/quiet BrokerLocation="C:\test\Infrastructure Services" /log "C:\test\test.log"-
/quiet。表示静默模式。 -
/log。表示日志记录文件的位置。 -
BrokerLocation。指明基础设施服务的安装路径。
-
创建服务主体名称
重要:
- 不要为驻留在同一林中的单独域创建多个服务主体名称 (SPN)。环境中的所有基础设施服务必须使用相同的服务帐户运行。
- 使用 负载平衡时,必须使用相同的服务帐户名称来安装和配置基础设施服务的所有实例。
- 对于使用 AD 的 SQL 实例,Windows 身份验证是一种特定的身份验证方法。另一个选项是改用 SQL 帐户。
安装程序完成后,为基础设施服务创建 SPN。在 WEM 中,Kerberos 对代理、基础架构服务和域 Controller 之间的连接和通信进行身份验证。Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。必须在基础设施服务实例的登录帐户和在 SPN 中注册的帐户之间配置关系。因此,要符合 Kerberos 身份验证要求,请使用适合您环境的命令将 WEM SPN 配置为将其与已知 AD 帐户相关联:
-
如果不使用 Windows 身份验证或负载平衡,请使用以下命令:
setspn -C -S Norskale/BrokerService [hostname]
其中,
hostname为基础设施服务器的名称。 -
如果使用 Windows 身份验证或负载平衡(需要 Windows 身份验证),请使用以下命令:
setspn -U -S Norskale/BrokerService [accountname]
其中,
accountname为用于 Windows 身份验证的服务帐户的名称。
SPN 区分大小写。
组托管服务帐户
您可以为 WEM 实施组托管服务帐户 (gMSA) 解决方案。使用 gMSA 解决方案,可以为新的 gMSA 委托人配置服务,密码管理由 Windows 处理。有关信息,请参阅 https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview。当使用 gMSA 作为服务原则时,Windows 操作系统管理该帐户的密码,而不是依赖管理员来管理。如果您稍后更改了该帐户的密码,则无需更改为基础设施服务配置的 Windows 帐户模拟设置。
要为 WEM 实施 gMSA 解决方案,请执行以下步骤:
-
如果您已经有 gMSA,请执行以下操作:
-
使用以下命令将 Citrix WEM SPN 与该帐户绑定:
setspn -C -S Norskale/BrokerService [gMSA]$
其中
gMSA为 gMSA 帐户的名称。 -
使用以下命令将相关计算机添加到该帐户:
Set-ADServiceAccount -Identity [gMSA] -PrincipalsAllowedToRetrieveManagedPassword [hostname]
其中 [主机名] 是基础架构服务器的名称。
-
-
如果您没有 gMSA,请转到您的域控制器,创建一个,然后将 Citrix WEM SPN 与它绑定。使用以下命令:
New-ADServiceAccount [gMSA] -DNSHostName [hostname 1] -PrincipalsAllowedToRetrieveManagedPassword [hostname 2], [hostname 3] -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames Norskale/BrokerService
其中 [hostname 1] 是 DNS 服务器的名称。
其中 [hostname 2]、 [hostname 3] 是基础架构服务器的名称。
有关创建 gMSA 的更多信息,请参阅 https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accounts。
-
手动配置 gMSA。
- 允许该帐户访问数据库。
- 在主 SQL Server 上,导航到“安全”>“登录名”,右键单击“登录”,然后选择“新登录名”。
- 在登录 - 新建窗口中,单击搜索。
- 在“选择用户或组”窗口中,按如下方式配置设置,然 后 单击“确定”退出该窗口。
- 对象类型。仅选择服务帐号。
- 位置。选择 托管服务帐户。
- 对象名称。键入您在步骤 1 中创建的帐户名称。
- 在用户映射页面上,选择要应用 gMSA 的数据库,然后选择 db-owner 作为数据库的角色成员资格。
- 在 状态 页面上,验证是否选择了 授予 和 启用 选项。
- 单击确定退出登录 - 新建窗口。
- 使用您添加的服务帐户启动 Citrix WEM 基础架构服务。
- 在基础架构服务器上,打开 Windows 服务管理器,右键单击 Citrix WEM 基础架构服务,然后选择“ 属性”。
- 在“登录”页面上 ,选择“此帐户”,单击“浏览”,然后按照步骤 3 的第三个子步骤中所述配置设置。
- 单击 “确定 ” 退出 Citrix WEM 基础架构服务属性 窗口。
- 在 Windows 服务管理器中,重启 Citrix WEM 基础架构服务。
注意:
或者,您可以使用 WEM GUI 配置帐户。请参阅创建 WEM 数据库 和 配置基础设施服务。
- 允许该帐户访问数据库。
配置负载平衡
提示:
使用 Citrix ADC 进行负载平衡 文章提供了有关如何配置 Citrix ADC 设备以对来自 WEM 管理控制台和 WEM 代理的传入请求进行负载平衡的详细信息。
要使用负载平衡服务配置 WEM,请执行以下操作:
-
为 WEM Infrastructure Service 创建 Windows 基础设施服务帐户以连接到 WEM 数据库。
-
创建 WEM 数据库时,选择将 Windows 身份验证用于基础设施服务数据库连接 选项,然后指定基础设施服务帐户名称。 有关详细信息,请参阅创建 Workspace Environment Management 数据库。
-
将每个基础架构服务配置为使用 Windows 身份验证而不是 SQL 身份验证连接到 SQL 数据库:选择 启用 Windows 帐户模拟 选项并提供基础设施服务帐户凭据。有关详细信息,请参阅 配置基础架构服务。
-
将 WEM Infrastructure Service 的 SPN 配置为使用基础设施服务帐户名称。有关详细信息,请参阅 创建服务主体名称。
重要:
在部署 WEM 环境之前,确定是使用服务帐户还是计算机帐户。部署 WEM 环境后,您无法切换回。例如,如果要在使用计算机帐户后对传入请求进行负载均衡,则必须使用计算机帐户而不是服务帐户。
-
创建一个虚拟 IP 地址 (VIP),该地址涵盖要放置在 VIP 后面的 基础设施服务器的数量。当代理连接到 VIP 时,VIP 覆盖的所有基础设施服务器都符合条件。
-
配置代理主机配置 GPO 时,请将基础设施服务器设置设置为 VIP,而不是任何单个基础设施服务器的地址。有关详细信息,请参阅 安装和配置代理。
-
管理控制台和基础设施服务之间的连接需要会话持久性。(不需要代理和基础设施服务之间的会话持久性。)我们建议您直接将每个管理控制台连接到基础架构服务服务器,而不是使用 VIP。
创建 Workspace Environment Management 数据库
提示:
您还可以使用 WEM PowerShell 软件开发工具包模块创建数据库。有关 SDK 文档,请参阅 Citrix Developer 文档。
注意:
- 如果您正在为 SQL Server 使用 Windows 身份验证,请在具有系统管理员权限的标识下运行数据库创建实用程序。
- Citrix 建议您将 WEM 数据库的主文件(.mdf 文件)配置为默认大小为 50 MB。
使用 WEM 数据库管理实用程序 创建数据库。这将在基础设施服务安装过程中安装,然后立即启动。
-
如果数据库管理实用程序尚未打开,请从开始菜单中选择 Citrix > Workspace Environment Management > WEM 数据库管理实用程序。
-
单击 创建数据库,然后单击 下一步。
-
键入以下数据库信息,然后单击 下一步:
-
服务器和实例名称。将托管数据库的 SQL Server 的地址。此地址必须与从基础设施服务器键入的完全相同。键入服务器和实例名称作为计算机名称、完全限定域名或 IP 地址。将完整实例地址指定为 serveraddress,port\instancename。如果未指定端口,则使用默认 SQL 端口号 (1433)。
-
数据库名称。要创建的 SQL 数据库的名称。
注意:
数据库名称中不允许使用连字符 (-) 和破折号 (/) 等特殊字符。
-
数据文件:SQL Server 上 .mdf 文件位置的路径。
-
日志文件:SQL Server 上 .ldf 文件位置的路径。
注意:
数据库管理实用程序无法查询 SQL Server 中的数据和日志文件的默认位置。默认值默认为 MS SQL Server 的默认安装。请确保这两个字段中的值是正确的 MS SQL Server 安装,否则数据库创建过程将失败。
-
-
提供向导可用于创建数据库的数据库服务器凭据,然后单击 下一步。这些凭据独立于基础架构服务在创建数据库后用于连接数据库的凭据。它们不会被存储。
默认情况下,选择“使用集成连接”选项。它允许向导使用其运行的身份的 Windows 帐户连接到 SQL 并创建数据库。如果此 Windows 帐户没有足够的权限来创建数据库,则可以作为具有足够权限的 Windows 帐户运行数据库管理实用程序,也可以清除此选项并提供具有足够权限的 SQL 帐户。
-
输入 VUEM 管理员和数据库安全详细信息,然后单击“ 下一步”。在创建数据库后,基础设施服务将使用您在此处提供的凭据连接到数据库。它们存储在数据库中。
-
初始管理员组。此用户组已预先配置为管理控制台的“完全访问”管理员。只有配置为 Workspace Environment Management 管理员的用户才允许使用管理控制台。指定有效的用户组,否则您将无法自行使用管理控制台。
-
使用 Windows 身份验证连接基础设施服务数据库清除此选项(默认)后,数据库希望基础架构服务使用 vuemUser SQL 用户帐户与之连接。vuemUser SQL 用户帐户是通过安装过程创建的。这需要为 SQL 实例启用混合模式身份验证。
选择此选项后,数据库希望基础设施服务使用 Windows 帐户连接到它。在这种情况下,您选择的 Windows 帐户必须尚未登录 SQL 实例。换句话说,您不能使用与用于创建数据库时相同的 Windows 帐户来运行基础设施服务。
要选择 gMSA,请按照与选择 AD 用户相同的步骤操作。
- 设置 vuemUser SQL 用户帐户密码。默认情况下,vuemUser SQL 帐户使用 8 个字符的密码创建,密码使用大小写字母、数字和标点符号。如果要输入自己的 vuemUser SQL 帐户密码(例如,如果 SQL 策略需要更复杂的密码),请选择此选项。
重要:
- 如果要在SQL Server AlwaysOn 可用性组中部署 Workspace Environment Management 数据库,则必须设置 vuemUser SQL 用户帐户密码。
- 如果在此处设置密码,请记住在 配置基础设施服务时指定相同的密码。
-
-
在摘要窗格中,查看所选设置,然后在满意时单击 创建数据库。
-
当系统通知您数据库创建已成功完成时,单击“完 成”退出向导。
如果在数据库创建过程中发生错误,请检查基础架构服务安装目录中的日志文件“Citrix WEM Database Management Utility Debug Log.log”。
配置基础设施服务
提示:
您还可以使用 Workspace Environment Management PowerShell SDK 模块配置基础设施服务。有关 SDK 文档,请参阅 Citrix Developer 文档。
在运行基础设施服务之前,必须使用 WEM Infrastructure Service 配置实用程序对其进行配置,如此处所述。
-
从开始菜单中选择 Citrix > Workspace Environment Management > WEM Infrastructure Service 配置实用程序。
-
在 数据库设置 选项卡中,输入以下详细信息:
-
数据库服务器和实例。托管 Workspace Environment Management 数据库的 SQL Server 实例的地址。必须完全按照从基础设施服务器键入的方式访问此信息。将完整的实例地址指定为“serveraddress,port\instancename”。如果未指定端口,则使用默认 SQL 端口号 (1433)。
-
数据库故障转移服务器和实如果使用数据库镜像,请在此处指定故障转移服务器地址。
-
数据库名称。SQL 实例上的 Workspace Environment Management 数据库的名称。
-
-
在“网络设置”选项卡中,键入基础设施服务使用的端口:
-
管理端口。管理控制台使用此端口连接到基础架构服务。
-
代理服务端口。您的代理主机使用此端口连接到基础设施服务。
-
缓存同步端口。代理服务使用此端口将其缓存与基础设施服务同步。
-
WEM 监视端口。[当前未使用。]
-
-
在“高级设置”选项卡中,输入模拟和自动刷新设置。
-
启用 Windows 帐户模拟。默认情况下,此选项被清除,基础设施服务使用混合模式身份验证连接到数据库(使用在数据库创建过程中创建的 SQL 帐户 vuemUser )连接到数据库。如果在数据库创建过程中选择了 Windows 基础设施服务帐户,则必须选择此选项并指定相同的 Windows 帐户,以便在连接期间模拟基础设施服务。您选择的帐户必须是基础设施服务器上的本地管理员。
要选择 gMSA,请按照与选择 AD 用户相同的步骤操作。
-
设置 vuemUser SQL 用户帐户密码。允许您通知基础架构服务在数据库创建期间为 vuemUser SQL 用户配置的自定义密码。只有在数据库创建过程中提供了自己的密码时才启用此选项。
-
基础架构服务缓存刷新延迟基础设施服务刷新其缓存之前的时间(以分钟为单位)。如果基础设施服务无法连接到 SQL,则使用缓存。
-
基础设施服务 SQL 状态监视器延迟每个基础设施服务尝试轮询 SQL Server 之间的时间(以秒为单位)。
-
基础设施服务 SQL 连接超时。在终止尝试并生成错误之前,基础设施服务在尝试与 SQL 服务器建立连接时等待的时间(以秒为单位)。
-
启用调试模式。如果启用,则基础设施服务将设置为详细日志记录模式。
-
即使在线也可以使用缓存。如果启用,基础设施服务将始终从其缓存中读取站点设置。
-
启用性能调整。允许您在连接的代理数超过特定阈值(默认情况下为 200)的情况下优化性能。因此,代理或管理控制台连接到基础架构服务所需的时间更短。
- 工作线程的最小数量。指定线程池根据需要创建的工作线程的最小数量。将工作线程的数量设置为 30-3000。根据已连接的座席数确定值。默认情况下,工作线程的最小数量为 200。
- 异步 I/O 线程的最小数量。指定线程池根据需要创建的异步 I/O 线程的最小数量。将异步 I/O 线程的数量设置为 30-3000。根据已连接的座席数确定值。默认情况下,异步 I/O 线程的最小数量为 200。
重要:
当代理或管理控制台间歇性断开与基础设施服务的连接时,此功能特别有用。
注意:
在启用性能优化字段中设置的值将在发出新请求时以及切换到管理线程创建和销毁的算法之前使用。有关详细信息,请参阅https://docs.microsoft.com/en-us/dotnet/api/system.threading.threadpool.setminthreads?view=netframework-4.8和https://support.microsoft.com/en-sg/help/2538826/wcf-service-may-scale-up-slowly-under-load。
-
使用 Google Analytics 帮助改进 Workspace Environment Management。如果选中此选项,基础架构服务将匿名分析发送到 Google Analytics 服务器。
-
不要使用 Google Analytics 来改进 Workspace Environment Management。如果选中此选项,则基础架构服务不会向 Google Analytics 服务器发送匿名分析。
重要:
从 2212 开始,Workspace Environment Management 根据托管基础架构服务的计算机的区域来决定选择哪个选项。如果计算机位于非欧洲区域,则选择第一个选项。如果计算机位于欧洲区域,则选择第二个选项。该行为仅适用于全新安装。
-
-
可以使用“数据库维护”选项卡来配置数据库维护。
-
启用计划的数据库维护。如果启用此设置,则会定期从数据库中删除旧统计记录。
-
统计保留期。确定用户和代理统计信息的保留时间。默认值为 365 天。
-
系统监视保留期。确定系统优化统计信息的保留时间。 默认值为 90 天。
-
代理注册的保留期。确定在数据库中保留代理注册日志的时间长度。默认值为 1 天。
-
执行时间。确定执行数据库维护操作的时间。默认为 02:00。
提示
作为最佳实践,我们建议您启用预设数据库维护,以减小数据库大小并实现最佳性能。如果单个 WEM 部署中有多个基础架构服务,请仅为一项基础架构服务启用该服务。
-
-
您可以选择使用许可选项卡在基础设施服务配置期间指定 Citrix 许可证服务器。如果未连接,则当管理控制台首次连接到新的 Workspace Environment Management 数据库时,必须在管理控制台功能区的 关于 选项卡中输入 Citrix 许可证服务器凭据。在这两种情况下,Citrix 许可证服务器信息都存储在数据库中的同一位置。
- 全局许可证服务器覆盖。启用此选项可键入 Workspace Environment Management 所使用的 Citrix 许可证服务器的名称。您在此处键入的信息将覆盖 Workspace Environment Management 数据库中已存在的任何 Citrix 许可证服务器信息。
在您满意地配置基础设施服务后,单击 保存配置 以保存这些设置,然后退出基础设施服务配置实用程序。