Product Documentation

Vorbereitungen zur Installation

Nov 03, 2016

Vor der Installation und Konfiguration von Provisioning Services müssen Sie die folgenden Aufgaben ausführen.

Auswählen und Konfigurieren der MS SQL-Datenbank

Einer Farm ist nur eine Datenbank zugeordnet. Die Provisioning Services-Datenbanksoftware kann auf folgenden Computern installiert werden:

  • Computer mit einer vorhandenen SQL-Datenbank, wenn der Computer mit allen Provisioningservern der Farm kommunizieren kann.
  • Computer mit einer neuen SQL Express-Datenbank, die mit dem von Microsoft kostenfrei zur Verfügung gestellten SQL Server Express erstellt wurde. 

In einer Produktionsumgebung empfiehlt es sich, die Datenbank und die Provisioningserver-Software auf separaten Servern zu installieren, um eine schlechte Verteilung beim Lastausgleich zu vermeiden.

Möglicherweise erstellt der Datenbankadministrator die Provisioning Services-Datenbank. Stellen Sie in diesem Fall dem MS SQL-Datenbankadministrator die Datei bereit, die mit dem Dienstprogramm DbScript.exe erstellt wurde. Dieses Dienstprogramm wird mit der Provisioning Services-Software erstellt.

Datenbankgröße

Weitere Informationen zur Datenbankdimensionierung finden Sie unter https://msdn.microsoft.com/en-us/library/ms187445.aspx.

Beim Erstellen der Datenbank ist die Größe 20 MB und der Zuwachs 10 MB. Die anfängliche Größe des Datenbankprotokolls ist 10 MB und der Zuwachs 10 %.

Der Basiswert für den erforderlichen Speicherplatz ist 112 KB, und der Wert ändert sich nicht. Folgendes ist eingeschlossen:

  • DatabaseVersion-Datensatz benötigt ca. 32 KB
  • Farmdatensatz benötigt ca. 8 KB
  • DiskCreate-Datensatz benötigt ca. 16 KB
  • Notifications-Datensatz benötigt ca. 40 KB
  • ServerMapped-Datensatz benötigt ca. 16 KB

Basierend auf Objekten ist der variable Wert für den erforderlichen Speicherplatz wie folgt:

  • Zugriff und Gruppierungen (pro Objekt)
    • Benutzergruppe, die Systemzugriff hat, benötigt ca. 50 KB
    • Sitedatensatz benötigt ca. 4 KB
    • Sammlung benötigt ca. 10 KB
  • FarmView (jeweils)
    • FarmView benötigt ca. 4 KB
    • FarmView/Device-Beziehung benötigt ca. 5 KB
  • SiteView (jeweils)
    • SiteView benötigt ca. 4 KB
    • SiteView/Device-Beziehung benötigt ca. 5 KB
  • Zielgerät (jeweils)
    • Zielgerät benötigt ca. 2 KB
    • DeviceBootstrap benötigt ca. 10 KB
    • Device:Disk-Beziehung benötigt ca. 35 KB
    • Device:Printer-Beziehung benötigt ca. 1 KB
    • DevicePersonality benötigt ca. 1 KB
    • DeviceStatus beim Starten eines Geräts benötigt ca. 1 KB
    • DeviceCustomProperty benötigt ca. 2 KB
  • Datenträger (jeweils)
    • Eindeutiger Datenträger benötigt ca. 1 KB
    • DiskVersion benötigt ca. 3 KB
    • DiskLocator benötigt ca. 10 KB
    • DiskLocatorCustomProperty benötigt ca. 2 KB
  • Provisioningserver (jeweils)
    • Server benötigt ca. 5 KB
    • ServerIP benötigt ca. 2 KB
    • ServerStatus beim Starten eines Servers benötigt ca. 1 KB
    • ServerCustomProperty benötigt ca. 2 KB
  • Store (jeweils)
    • Store benötigt ca. 8 KB
    • Store:Serverbeziehung benötigt ca. 4 KB
  • Datenträgerupdate (jeweils)
    • VirtualHostingPool benötigt ca. 4 KB
    • UpdateTask benötigt ca. 10 KB
    • DiskUpdateDevice benötigt ca. 2 KB
    • DiskUpdateDevice:Disk-Beziehung benötigt ca. 35 KB
    • Disk:UpdateTask-Beziehung benötigt ca. 1 KB

Die folgenden Änderungen führen zur Zunahme der Speicherplatzanforderungen:

  • Jede verarbeitete Aufgabe (Beispiel: vDisk-Versionszusammenführung) benötigt ca. 2 KB
  • Wenn die Überwachung aktiviert ist, benötigt jede vom Administrator in der Konsole, in MCLI oder in der PowerShell-Oberfläche ausgeführte Änderung ca. 1 KB

Datenbankspiegelung

Damit Provisioning Services die MS SQL-Datenbankspiegelung unterstützt, muss die Datenbank mit der Option High-safety mode with a witness (synchronous) konfiguriert werden.

Wenn Sie das Feature für die Datenbankspiegelung verwenden, muss der SQL Native Client auf dem Server installiert sein. Bei der Installation von SQL wird ggf. die Option zum Installieren von SQL Native Client x64 oder x86 angezeigt.

Weitere Informationen zum Konfigurieren und Verwenden der Datenbankspiegelung finden Sie unter Datenbankspiegelung.

Datenbankclustering

Folgen Sie zum Implementieren des Datenbankclusterings den Anweisungen von Microsoft und führen Sie dann Konfigurationsassistenten für Provisioning Services aus. Es sind keine weiteren Schritte erforderlich, da der Assistent den Cluster als einen einzigen SQL Server betrachtet.

Konfigurieren der Authentifizierung

Provisioning Services verwendet die Windows-Authentifizierung für den Zugriff auf die Datenbank. Die Microsoft SQL Server-Authentifizierung wird, ausgenommen vom Konfigurationsassistenten, nicht unterstützt.

Benutzerberechtigungen für den Konfigurationsassistenten
Der Benutzer, der den Konfigurationsassistenten ausführt, muss die folgenden MS SQL-Berechtigungen haben:
  • dbcreator zum Erstellen der Datenbank
  • securityadmin zum Erstellen der SQL-Anmeldungen für die Stream- und SOAP-Dienste

Bei Verwendung von MS SQL Express in einer Testumgebung können Sie dem Benutzer, der den Konfigurationsassistenten ausführt, sysadmin-Berechtigungen (die höchste Datenbankberechtigung) erteilen.

Wenn der Datenbankadministrator eine leere Datenbank bereitstellt, muss der Benutzer, der den Konfigurationsassistenten ausführt, der Eigentümer der Datenbank sein und die Berechtigung View any definition haben (diese Einstellungen werden vom Datenbankadministrator beim Erstellen der leeren Datenbank festgelegt).

Dienstkontoberechtigungen

Für den Benutzerkontext des Stream- und SOAP-Dienstes sind die folgenden Datenbankberechtigungen erforderlich:

  • db_datareader
  • db_datawriter
  • Ausführungsberechtigung für gespeicherte Prozeduren

Die Datenbankrollen für Datareader und Datawriter werden für das Benutzerkonto der Stream- und SOAP-Dienste mit dem Konfigurationsassistenten automatisch konfiguriert. Der Konfigurationsassistent weist diese Berechtigungen zu, wenn der Benutzer über die securityadmin-Berechtigung verfügt. Zudem muss der Dienstbenutzer die folgenden Systemberechtigungen haben:

  • Als Dienst ausführen
  • Lesezugriff auf die Registrierung
  • Zugriff auf Programme\Citrix\Provisioning Services
  • Lese-/Schreibzugriff auf jeden vDisk-Speicherort

Legen Sie fest, unter welchen der folgenden unterstützten Benutzerkonten der Stream- und SOAP-Dienst ausgeführt werden soll:

  • Netzwerkdienstkonto:

    Lokales Konto mit Mindestberechtigungen, das im Netzwerk als Domänenkonto des Computers authentifiziert wird.

  • Specified user account (erforderlich bei Verwendung einer Windows-Freigabe), das ein Arbeitsgruppen- oder Domänenbenutzerkonto sein kann.

Weil Provisioning Services die KMS-Lizenzierung unterstützt, muss das SOAP-Server-Benutzerkonto Mitglied der Gruppe lokaler Administratoren sein.

Da die Authentifizierung in Arbeitsgruppenumgebungen nicht üblich ist, müssen auf jedem Server Benutzerkonten mit Mindestberechtigungen erstellt werden und jede Instanz muss identische Anmeldeinformationen aufweisen.

Legen Sie die passende Sicherheitsoption für diese Farm fest (es kann nur eine Option pro Farm ausgewählt werden und die Auswahl wirkt sich auf die rollenbasierte Administration aus).

  • Use Active Directory groups for security: (Standard). Wählen Sie diese Option für eine Windows-Domäne, die Active Directory ausführt. Mit dieser Option können Sie Active Directory für die Provisioning Services-Administrationsrollen nutzen.
    Hinweis: Windows 2000-Domänen werden nicht unterstützt.
  • Use Windows groups for security: Wählen Sie diese Option für einen einzelnen Server oder in einer Arbeitsgruppe. Mit dieser Option können Sie die lokalen Benutzer/Gruppen auf diesem Server für Provisioning Services-Administrationsrollen nutzen.

Konsolenbenutzer greifen nicht direkt auf die Datenbank zu.

Zu den Mindestberechtigungen, die für zusätzliche Provisioning Services-Funktionalität benötigt werden, gehören u. a.:

  • Provisioning Services XenDesktop-Setupassistent, Setupassistent für gestreamte VMs und Imageupdatedienst
    • Mindestberechtigungen für vCenter, SCVMM und XenServer
    • Berechtigungen für den aktuellen Benutzer auf einem vorhandenen XenDesktop-Controller
    • Ein Provisioning Services Console-Benutzerkonto, das als XenDesktop-Administrator konfiguriert ist und einer PVS SiteAdmin-Gruppe oder höher hinzugefügt wurde
    • Active Directory-Berechtigung zum Erstellen von Konten, damit neue Konten in der Konsole erstellt werden können. Wenn Sie vorhandene Konten verwenden, müssen die Active Directory-Konten bereits in einer bekannten Organisationseinheit vorhanden sein, damit sie ausgewählt werden können.
    • Wenn Sie Personal vDisks mit XenDesktop verwenden, muss das Benutzerkonto für den SOAP-Server volle XenDesktop-Administratorrechte haben.
  • Active Directory-Kontosynchronisierung: Berechtigungen zum Erstellen, Zurücksetzen und Löschen
  • vDisk: Privilegien zum Durchführen von Volumenwartungsaufgaben

Kerberos-Sicherheit

In der Standardeinstellung verwendet die Provisioning Services Console, der Imagingassistent, das PowerShell-Snap-In und MCLI in einer Active Directory-Umgebung für die Kommunikation mit dem Provisioning Services-SOAP-Dienst die Kerberos-Authentifizierung. Im Rahmen der Kerberos-Architektur muss sich ein Dienst beim Domänencontroller (Kerberos Key Distribution Center) registrieren (ein SPN (Service Principal Name) erstellen). Die Registrierung ist wichtig, da Active Directory dann das Konto erkennen kann, unter dem der Provisioning Services-SOAP-Dienst ausgeführt wird. Wenn die Registrierung nicht durchgeführt wird, schlägt die Kerberos-Authentifizierung fehl und Provisioning Services greift auf die NTLM-Authentifizierung zurück.

Der Provisioning Services-SOAP-Dienst wird bei jedem Dienststart registriert und die Registrierung wird beim Anhalten des Dienstes aufgehoben. Die Registrierung schlägt fehl, wenn das Dienstbenutzerkonto keine Berechtigungen hat. In der Standardeinstellung haben das Netzwerkdienstkonto und die Domänenadministratoren Berechtigungen; ein normales Domänenbenutzerkonto hat keine Berechtigungen.

Sie vermeiden dieses Problem mit einer der folgenden Vorgehensweisen:

  • Verwenden Sie ein anderen Konto, das SPNs erstellen kann.
  • Weisen Sie dem Dienstkonto Berechtigungen zu.
    KontotypBerechtigung
    ComputerkontoSchreibrechte für geprüften SPN
    BenutzerkontoSchreibrechte für öffentliche Informationen