Vorbereitungen zur Installation
Vor der Installation und Konfiguration von Provisioning Services müssen Sie die folgenden Aufgaben ausführen.
Auswählen und Konfigurieren der MS SQL-Datenbank
Einer Farm ist nur eine Datenbank zugeordnet. Die Provisioning Services-Datenbanksoftware kann auf folgenden Computern installiert werden:
- Computer mit einer vorhandenen SQL-Datenbank, wenn der Computer mit allen Provisioning-Servern der Farm kommunizieren kann.
- Computer mit einer neuen SQL Express-Datenbank, die mit dem von Microsoft kostenfrei zur Verfügung gestellten SQL Server Express erstellt wurde.
In einer Produktionsumgebung empfiehlt es sich, die Datenbank und die Provisioning-Software auf separaten Servern zu installieren, um eine schlechte Verteilung beim Lastausgleich zu vermeiden.
Möglicherweise erstellt der Datenbankadministrator die Provisioning Services-Datenbank. Stellen Sie in diesem Fall dem MS SQL-Datenbankadministrator die Datei bereit, die mit dem Hilfsprogramm DbScript.exe erstellt wurde. Dieses Hilfsprogramm wird mit der Provisioning Services-Software erstellt.
Datenbankgröße
Informationen zur Datenbankgröße finden Sie unter Estimate the Size of a Database.
Beim Erstellen der Datenbank ist die Größe 20 MB und der Zuwachs 10 MB. Die anfängliche Größe des Datenbankprotokolls ist 10 MB und der Zuwachs 10 %.
Der Basiswert für den erforderlichen Speicherplatz ist 112 KB, und der Wert ändert sich nicht. Folgendes ist eingeschlossen:
- Datensatz für Datenbankversion benötigt ca. 32 KB
- Farmdatensatz benötigt ca. 8 KB
- Datensatz für Datenträgererstellung benötigt ca. 16 KB
- Benachrichtigungen benötigen ca. 40 KB
- Datensatz für Serverzuordnung benötigt ca. 16 KB
Basierend auf Objekten ist der variable Wert für den erforderlichen Speicherplatz wie folgt:
- Zugriff und Gruppierungen (pro Objekt)
- Benutzergruppe, die Systemzugriff hat, benötigt ca. 50 KB
- Sitedatensatz benötigt ca. 4 KB
- Eine Sammlung benötigt ca. 10 KB
- Farmansicht (jeweils)
- Farmansicht benötigt ca. 4 KB
- FarmView/Device-Beziehung benötigt ca. 5 KB
- Siteansicht (jeweils)
- Siteansicht benötigt ca. 4 KB
- SiteView/Device-Beziehung benötigt ca. 5 KB
- Zielgerät (jeweils)
- Zielgerät benötigt ca. 2 KB
- Geräte-Bootstrap benötigt ca. 10 KB
- Gerät:Datenträger-Beziehung benötigt ca. 35 KB
- Gerät:Drucker-Beziehung benötigt ca. 1 KB
- Gerätecharakter benötigt ca. 1 KB
- Gerätestatus beim Starten eines Geräts benötigt ca. 1 KB
- DeviceCustomProperty benötigt ca. 2 KB
- Datenträger (jeweils)
- Eindeutiger Datenträger benötigt ca. 1 KB
- DiskVersion benötigt ca. 3 KB
- Datenträgersuche benötigt ca. 10 KB
- DiskLocatorCustomProperty benötigt ca. 2 KB
- Provisioning-Server (jeweils)
- Server benötigt ca. 5 KB
- ServerIP benötigt ca. 2 KB
- Serverstatus beim Starten eines Servers benötigt ca. 1 KB
- ServerCustomProperty benötigt ca. 2 KB
- Store (jeweils)
- Store benötigt ca. 8 KB
- Store:Serverbeziehung benötigt ca. 4 KB
- Datenträgerupdate (jeweils)
- VirtualHostingPool benötigt ca. 4 KB
- UpdateTask benötigt ca. 10 KB
- DiskUpdateDevice benötigt ca. 2 KB
- DiskUpdateDevice:Disk-Beziehung benötigt ca. 35 KB
- Disk:UpdateTask-Beziehung benötigt ca. 1 KB
Die folgenden Änderungen führen zur Zunahme der Speicherplatzanforderungen:
- Jede verarbeitete Aufgabe (Beispiel: vDisk-Versionszusammenführung) benötigt ca. 2 KB
- Wenn die Überwachung aktiviert ist, benötigt jede vom Administrator in der Konsole, in MCLI oder in der PowerShell-Oberfläche ausgeführte Änderung ca. 1 KB
Datenbankspiegelung
Damit Provisioning Services die MS SQL-Datenbankspiegelung unterstützt, muss die Datenbank mit der Option High-safety mode with a witness (synchronous) konfiguriert werden.
Wenn Sie das Feature für die Datenbankspiegelung verwenden, muss der SQL Native Client auf dem Server installiert sein. Gegebenenfalls wird bei der Installation von SQL die Option zum Installieren von SQL Native Client x64 oder x86 angezeigt.
Weitere Informationen zum Konfigurieren und Verwenden der Datenbankspiegelung finden Sie unter Datenbankspiegelung.
Datenbankclustering
Folgen Sie zum Implementieren des Datenbankclusterings den Anweisungen von Microsoft und führen Sie dann Konfigurationsassistenten für Provisioning Services aus. Es sind keine weiteren Schritte erforderlich, da der Assistent den Cluster als einen einzigen SQL Server betrachtet.
Konfigurieren der Authentifizierung
Provisioning Services verwendet die Windows-Authentifizierung für den Zugriff auf die Datenbank. Die Microsoft SQL Server-Authentifizierung wird, ausgenommen vom Konfigurationsassistenten, nicht unterstützt.
-
Benutzerberechtigungen für den Konfigurationsassistenten
Der Benutzer, der den Konfigurationsassistenten ausführt, muss die folgenden MS SQL-Berechtigungen haben:
- dbcreator zum Erstellen der Datenbank
- “security admin” zum Erstellen der SQL-Anmeldungen für die Stream- und SOAP-Dienste
Bei Verwendung von MS SQL Express in einer Testumgebung können Sie dem Benutzer, der den Konfigurationsassistenten ausführt, sysadmin-Berechtigungen (die höchste Datenbankberechtigung) erteilen.
Wenn der Datenbankadministrator eine leere Datenbank bereitstellt, muss der Benutzer, der den Konfigurationsassistenten ausführt, der Eigentümer der Datenbank sein und die Berechtigung View any definition haben (diese Einstellungen werden vom Datenbankadministrator beim Erstellen der leeren Datenbank festgelegt).
Dienstkontoberechtigungen
Für den Benutzerkontext des Stream- und SOAP-Dienstes sind die folgenden Datenbankberechtigungen erforderlich:
- db_datareader
- db_datawriter
- Ausführungsberechtigung für gespeicherte Prozeduren
Die Datenbankrollen für Datareader und Datawriter werden für das Benutzerkonto der Stream- und SOAP-Dienste mit dem Konfigurationsassistenten automatisch konfiguriert. Der Konfigurationsassistent weist diese Berechtigungen zu, wenn der Benutzer über die “security admin”-Berechtigung verfügt. Zudem muss der Dienstbenutzer die folgenden Systemberechtigungen haben:
- Als Dienst ausführen
- Lesezugriff auf die Registrierung
- Zugriff auf Programme\Citrix\Provisioning Services
- Lese-/Schreibzugriff auf jeden vDisk-Speicherort
Legen Sie fest, unter welchen der folgenden unterstützten Benutzerkonten der Stream- und SOAP-Dienst ausgeführt werden soll:
-
Netzwerkdienstkonto:
Lokales Konto mit Mindestberechtigungen, das im Netzwerk als Domänenkonto des Computers authentifiziert wird.
-
Specified user account (erforderlich bei Verwendung einer Windows-Freigabe), das ein Arbeitsgruppen- oder Domänenbenutzerkonto sein kann.
Unterstützung in Provisioning Services für die KMS-Lizenzierung erfordert, dass das SOAP-Server-Benutzerkonto Mitglied der Gruppe lokaler Administratoren ist.
Da die Authentifizierung in Arbeitsgruppenumgebungen nicht üblich ist, müssen auf jedem Server Benutzerkonten mit Mindestberechtigungen erstellt werden und jede Instanz muss identische Anmeldeinformationen aufweisen.
Legen Sie die passende Sicherheitsoption für diese Farm fest (es kann nur eine Option pro Farm ausgewählt werden und die Auswahl wirkt sich auf die rollenbasierte Administration aus).
- Use Active Directory groups for security: (Standard). Wählen Sie diese Option für eine Windows-Domäne, die Active Directory ausführt. Mit dieser Option können Sie Active Directory für die Provisioning Services-Administrationsrollen nutzen. Hinweis: Windows 2000-Domänen werden nicht unterstützt.
- Use Windows groups for security: Wählen Sie diese Option für einen einzelnen Server oder in einer Arbeitsgruppe. Mit dieser Option können Sie die lokalen Benutzer/Gruppen auf diesem Server für Provisioning Services-Administrationsrollen nutzen.
Konsolenbenutzer greifen nicht direkt auf die Datenbank zu.
Zu den erforderlichen Mindestberechtigungen für weitere Provisioning Services-Funktionen gehören u. a.:
- Provisioning Services XenDesktop-Setupassistent, Setupassistent für gestreamte VMs und Imageupdatedienst
- Mindestberechtigungen für vCenter, SCVMM und XenServer
- Berechtigungen für den aktuellen Benutzer auf einem vorhandenen XenDesktop-Controller
- Ein Provisioning Services Console-Benutzerkonto, das als XenDesktop-Administrator konfiguriert ist und einer PVS Site Admin-Gruppe oder höher hinzugefügt wurde
- Active Directory-Berechtigung zum Erstellen von Konten, damit neue Konten in der Konsole erstellt werden können. Wenn Sie vorhandene Konten verwenden, müssen die Active Directory-Konten bereits in einer bekannten Organisationseinheit vorhanden sein, damit sie ausgewählt werden können.
- Wenn Sie Personal vDisks mit XenDesktop verwenden, muss das Benutzerkonto für den SOAP-Server volle XenDesktop-Administratorrechte haben.
- Active Directory-Kontosynchronisierung: Berechtigungen zum Erstellen, Zurücksetzen und Löschen
- vDisk: Privilegien zum Durchführen von Volumenwartungsaufgaben
Kerberos-Sicherheit
In der Standardeinstellung verwendet die Provisioning Services Console, der Imagingassistent, das PowerShell-Snap-In und MCLI in einer Active Directory-Umgebung für die Kommunikation mit dem Provisioning Services-SOAP-Dienst die Kerberos-Authentifizierung. Im Rahmen der Kerberos-Architektur muss sich ein Dienst beim Domänencontroller (Kerberos Key Distribution Center) registrieren (ein SPN (Service Principal Name) erstellen). Die Registrierung ist wichtig, da Active Directory dann das Konto erkennen kann, unter dem der Provisioning Services-SOAP-Dienst ausgeführt wird. Wenn die Registrierung nicht durchgeführt wird, schlägt die Kerberos-Authentifizierung fehl und Provisioning Services greift auf die NTLM-Authentifizierung zurück.
Der Provisioning Services-SOAP-Dienst wird bei jedem Dienststart registriert und die Registrierung wird beim Anhalten des Dienstes aufgehoben. Die Registrierung schlägt fehl, wenn das Dienstbenutzerkonto keine Berechtigungen hat. In der Standardeinstellung haben das Netzwerkdienstkonto und die Domänenadministratoren Berechtigungen; ein normales Domänenbenutzerkonto hat keine Berechtigungen.
Sie vermeiden dieses Problem mit einer der folgenden Vorgehensweisen:
- Verwenden Sie ein anderen Konto, das SPNs erstellen kann.
- Weisen Sie dem Dienstkonto Berechtigungen zu. | | | | —————- | ———————— | | Kontotyp | Berechtigung | | Computerkonto | Schreibrechte für geprüften SPN | | Benutzerkonto | Schreibrechte für öffentliche Informationen |