Citrix Provisioning

Vorbereitungen zur Installation

Vor der Installation und Konfiguration von Citrix Provisioning führen Sie die folgenden Aufgaben aus.

Wichtig:

Installieren Sie alle aktuellen Windows-Updates, bevor Sie Citrix Provisioning-Komponenten installieren. Citrix empfiehlt, dass Sie nach der Installation aller Windows-Updates einen Neustart ausführen.

Auswählen und Konfigurieren der Microsoft SQL-Datenbank

Jede PVS-Farm hat eine einzige Datenbank. Sie können die Datenbank auf einem der folgenden Server bereitstellen:

  • Auf einer vorhandenen SQL Server- oder SQL Server Express-Instanz
  • Auf einem neuen Server mit SQL Server oder SQL Server Express

Alle PVS-Server in einer Farm müssen mit dem Datenbankserver kommunizieren können.

In einer Produktionsumgebung empfiehlt es sich, die Datenbank und die Citrix Provisioning-Serversoftware auf separaten Servern zu installieren, um eine schlechte Verteilung beim Lastausgleich zu vermeiden.

Der PVS-Konfigurationsassistent kann die Datenbank erstellen. Wenn Sie keine Berechtigung zum Erstellen von Datenbanken haben, können Sie alternativ das Dienstprogramm DbScript.exe verwenden, um ein SQL-Skript zu erstellen, das ein Datenbankadministrator zum Erstellen der PVS-Datenbank ausführen kann. Dieses Hilfsprogramm wird mit der Provisioning-Software erstellt.

Führen Sie das Dienstprogramm DbScript.exe aus, um die Datenbank zu erstellen oder zu aktualisieren

Wenn Sie keine Berechtigung zum Erstellen von Datenbanken haben, erstellen Sie mit DbScript.exe ein SQL-Skript, das der Datenbankadministrator zum Erstellen oder Aktualisieren der PVS-Datenbank ausführen kann. Führen Sie das Skript über die Windows-Eingabeaufforderung in C:\Program Files\Citrix\Provisioning Services aus.

Verwenden Sie die folgende Syntax, um das Skript zum Erstellen der Datenbank zu generieren:

DbScript.exe -new <databaseName> <farmName> <siteName> <collectionName> <farmAdminGroup> <adGroupsEnabled> <scriptName> <is2012orHigher>

Geben Sie Folgendes ein, um das Skript zum Aktualisieren der Datenbank zu generieren:

DbScript.exe -upgrade <databaseName> <scriptName>

Die Befehle verwenden die folgenden Argumente:

  • <databaseName> — Name der zu erstellenden oder zu aktualisierenden Datenbank
  • <farmName> — Farmname für die neue Datenbank
  • <siteName> — Sitename für die neue Datenbank
  • <collectionName> — Sammlungsname für die neue Datenbank
  • <farmAdminGroup> — Farmadministratorgruppe, angegeben als vollständiger Pfad

    Hinweis: Wenn Sie den Konfigurationsassistenten ausführen, müssen Sie Mitglied dieser Gruppe (einer Active Directory-Gruppe) sein, um die PVS-Server zur Datenbank hinzuzufügen.

  • <adGroupsEnabled> — Aktiviert oder deaktiviert AD-Gruppen, als boolescher Wert festgelegt, wobei true AD-Gruppen aktiviert und false AD-Gruppen deaktiviert
  • <scriptName> — Name des zu generierenden Skripts, angegeben als vollständiger Pfad
  • <is2012orHigher> — Das Release, für das die neue Datenbank bestimmt ist, als boolescher Wert festgelegt, wobei true für 2012 oder höher false für 2008 steht

Beispiele für DbScript.exe

In diesem Beispiel wird ein Skript zum Erstellen einer leeren Citrix Provisioning-Datenbank mit dem Namen db1-2 generiert. Das Skript namens newDb.sql befindet sich in C:.

C:\Program Files\Citrix\Provisioning Services> DbScript.exe -new db1-2 Farm1 Site1 Collection1 "test.local/Users/Domain Users" true c:\newDb.sql true

In diesem Beispiel wird ein Skript zum Aktualisieren der Citrix Provisioning-Datenbank test1 generiert. Das Skript namens upgrade.sql befindet sich, da kein Pfad angegeben ist, in dem Verzeichnis, in dem das Skript ausgeführt wurde (C:\Program Files\Citrix\Provisioning Services).

C:\Program Files\Citrix\Provisioning Services>DbScript.exe -upgrade test1 upgrade.sql

Datenbankgröße

Weitere Informationen finden Sie unter Datenbankgröße.

Beim Erstellen der Datenbank ist die Größe 20 MB und der Zuwachs 10 MB. Die anfängliche Größe des Datenbankprotokolls ist 10 MB und der Zuwachs 10 %.

Der Basiswert für den erforderlichen Speicherplatz ist 112 KB, und der Wert ändert sich nicht. Das Basisimage umfasst Folgendes:

  • DatabaseVersion-Datensatz benötigt ca. 32 KB
  • Farmdatensatz benötigt ca. 8 KB
  • DiskCreate-Datensatz benötigt ca. 16 KB
  • Benachrichtigungen benötigen ca. 40 KB
  • ServerMapped-Datensatz benötigt ca. 16 KB

Basierend auf Objekten ist der variable Wert für den erforderlichen Speicherplatz wie folgt:

  • Zugriff und Gruppierungen (pro Objekt)
    • Benutzergruppe, die Systemzugriff hat, benötigt ca. 50 KB
    • Sitedatensatz benötigt ca. 4 KB
    • Eine Sammlung benötigt ca. 10 KB
  • FarmView (jeweils)
    • FarmView benötigt ca. 4 KB
    • FarmView/Device-Beziehung benötigt ca. 5 KB
  • SiteView (jeweils)
    • SiteView benötigt ca. 4 KB
    • SiteView/Device-Beziehung benötigt ca. 5 KB
  • Zielgerät (jeweils)
    • Zielgerät benötigt ca. 2 KB
    • DeviceBootstrap benötigt ca. 10 KB
    • Device:Disk-Beziehung benötigt ca. 35 KB
    • Device:Printer-Beziehung benötigt ca. 1 KB
    • DevicePersonality benötigt ca. 1 KB
    • DeviceStatus beim Starten eines Geräts benötigt ca. 1 KB
    • DeviceCustomProperty benötigt ca. 2 KB
  • Datenträger (jeweils)
    • Eindeutiger Datenträger benötigt ca. 1 KB
    • DiskVersion benötigt ca. 3 KB
    • DiskLocator benötigt ca. 10 KB
    • DiskLocatorCustomProperty benötigt ca. 2 KB
  • Provisioning-Server (jeweils)
    • Server benötigt ca. 5 KB
    • ServerIP benötigt ca. 2 KB
    • ServerStatus beim Starten eines Servers benötigt ca. 1 KB
    • ServerCustomProperty benötigt ca. 2 KB
  • Store (jeweils)
    • Store benötigt ca. 8 KB
    • Store:Serverbeziehung benötigt ca. 4 KB
  • Datenträgerupdate (jeweils)
    • VirtualHostingPool benötigt ca. 4 KB
    • UpdateTask benötigt ca. 10 KB
    • DiskUpdateDevice benötigt ca. 2 KB
    • Jede DiskUpdateDevice:Disk-Beziehung benötigt ca. 35 KB
    • Disk:UpdateTask-Beziehung benötigt ca. 1 KB

Die folgenden Änderungen führen zur Zunahme der Speicherplatzanforderungen:

  • Jede verarbeitete Aufgabe (Beispiel: Versionszusammenführung für virtuelle Datenträger) benötigt ca. 2 KB
  • Wenn die Überwachung aktiviert ist, benötigt jede vom Administrator in der Citrix Provisioning-Konsole, in MCLI oder in der PowerShell-Oberfläche ausgeführte Änderung ca. 1 KB

Datenbankspiegelung

Damit Citrix Provisioning die MS SQL-Datenbankspiegelung unterstützt, muss die Datenbank mit der Option High-safety mode with a witness (synchronous) konfiguriert werden.

Wenn Sie das Feature für die Datenbankspiegelung verwenden, muss SQL Native Client auf dem Server installiert sein. Bei der Installation von SQL wird die Option zum Installieren von SQL Native Client x64 oder x86 angezeigt, falls diese Komponente noch nicht vorhanden ist.

Aktualisieren Sie den nativen SQL-Client auf eine Version, die TLS 1.2 unterstützt. Weitere Informationen finden Sie im Artikel “Client component downloads” unter KB3135244 - TLS 1.2 support for Microsoft SQL Server.

Weitere Informationen zum Konfigurieren und Verwenden der Datenbankspiegelung finden Sie unter Datenbankspiegelung.

Datenbankclustering

Folgen Sie zum Implementieren des Datenbankclusterings den Anweisungen von Microsoft und führen Sie dann den Konfigurationsassistenten für Citrix Provisioning aus. Es sind keine weiteren Schritte erforderlich, da der Assistent den Cluster als einen einzigen SQL Server betrachtet.

Konfigurieren der Authentifizierung

Citrix Provisioning verwendet die Windows-Authentifizierung für den Zugriff auf die Datenbank. Die Microsoft SQL Server-Authentifizierung wird, ausgenommen vom Konfigurationsassistenten, nicht unterstützt.

Benutzerberechtigungen für den Konfigurationsassistenten

Der Benutzer, der den Konfigurationsassistenten ausführt, muss die folgenden MS SQL-Berechtigungen haben:

  • dbcreator zum Erstellen der Datenbank
  • securityadmin zum Erstellen der SQL-Anmeldungen für die Stream- und SOAP-Dienste

Bei Verwendung von MS SQL Express in einer Testumgebung können Sie dem Benutzer, der den Konfigurationsassistenten ausführt, sysadmin-Berechtigungen (die höchste Datenbankberechtigung) erteilen.

Wenn der Datenbankadministrator eine leere Datenbank mit dem Hilfsprogramm DbScript.exe erstellt hat, muss der Benutzer, der den Konfigurationsassistenten ausführt, der Eigentümer der Datenbank sein. Darüber hinaus muss dieser Benutzer über die Berechtigung View any definition verfügen. Diese Berechtigung wird vom Datenbankadministrator beim Erstellen der leeren Datenbank festgelegt.

Dienstkontoberechtigungen

Für den Benutzerkontext des Stream- und SOAP-Dienstes sind die folgenden Datenbankberechtigungen erforderlich:

  • db\_datareader
  • db\_datawriter
  • Ausführungsberechtigungen für gespeicherte Prozeduren

Die Datenbankrollen für Datareader und Datawriter werden für das Benutzerkonto der Stream- und SOAP-Dienste mit dem Konfigurationsassistenten automatisch konfiguriert. Der Konfigurationsassistent weist diese Berechtigungen zu, wenn der Benutzer über die “security admin”-Berechtigung verfügt. Zudem muss der Dienstbenutzer die folgenden Systemberechtigungen haben:

  • Als Dienst ausführen
  • Lesezugriff auf die Registrierung
  • Zugriff auf Programme\Citrix\Citrix Provisioning
  • Lese-/Schreibzugriff auf jeden Speicherort für virtuelle Datenträger

Legen Sie fest, unter welchen der folgenden unterstützten Benutzerkonten der Stream- und SOAP-Dienst ausgeführt werden soll:

  • Netzwerkdienstkonto:

    Lokales Konto mit Mindestberechtigungen, das im Netzwerk als Domänenkonto des Computers authentifiziert wird.

  • Specified user account (erforderlich bei Verwendung einer Windows-Freigabe), das ein Arbeitsgruppen- oder Domänenbenutzerkonto sein kann.

Unterstützung für die KMS-Lizenzierung erfordert, dass das SOAP-Server-Benutzerkonto Mitglied der Gruppe lokaler Administratoren ist.

Tipp:

Da die Authentifizierung in Arbeitsgruppenumgebungen nicht üblich ist, müssen auf jedem Server Benutzerkonten mit Mindestberechtigungen erstellt werden und jede Instanz muss identische Anmeldeinformationen aufweisen.

Legen Sie die passende Sicherheitsoption für die Farm fest. Es kann nur eine Option pro Farm ausgewählt werden und die Auswahl wirkt sich auf die rollenbasierte Administration aus. Sicherheitsoptionen:

  • Use Active Directory groups for security: (Standard). Wählen Sie diese Option für eine Windows-Domäne, die Active Directory ausführt. Mit dieser Option können Sie Active Directory für die Citrix Provisioning-Administrationsrollen nutzen.

    Hinweis:

    Windows 2,000-Domänen werden nicht unterstützt.

  • Use Windows groups for security: Wählen Sie diese Option für einen einzelnen Server oder in einer Arbeitsgruppe. Mit dieser Option können Sie die lokalen Benutzer/Gruppen auf diesem Server für Citrix Provisioning-Administrationsrollen nutzen.

Konsolenbenutzer greifen nicht direkt auf die Datenbank zu.

Zu den Mindestberechtigungen, die für zusätzliche Provisioning-Funktionalität benötigt werden, gehören u. a.:

  • Citrix Virtual Apps and Desktops-Setupassistent, Setupassistent für gestreamte VMs und Imageupdatedienst
    • Mindestberechtigungen für vCenter, SCVMM und Citrix Hypervisor
    • Berechtigungen für den aktuellen Benutzer auf einem bestehenden Citrix Virtual Apps and Desktops-Controller
    • Ein Citrix Provisioning-Konsolenbenutzerkonto, das als Citrix Virtual Apps and Desktops-Administrator konfiguriert ist und einer Provisioning-SiteAdmin-Gruppe oder höher hinzugefügt wurde
    • Active Directory-Berechtigung zum Erstellen von Konten, damit neue Konten in der Konsole erstellt werden können. Wenn Sie vorhandene Konten verwenden, müssen die Active Directory-Konten bereits in einer bekannten Organisationseinheit vorhanden sein, damit sie ausgewählt werden können.
    • Wenn Sie persönliche vDisks mit Citrix Virtual Apps and Desktops verwenden, muss das Benutzerkonto des SOAP-Servers volle Citrix Virtual Apps and Desktops-Administratorrechte haben.
  • Active Directory-Kontosynchronisierung: Berechtigungen zum Erstellen, Zurücksetzen und Löschen
  • Virtueller Datenträger: Privilegien zum Durchführen von Volumenwartungsaufgaben

Aktivieren einer Remoteverbindung in SQL Server

Verwenden Sie die Informationen in diesem Abschnitt, um eine Remoteverbindung mit dem SQL-Server herzustellen.

  1. Melden Sie sich beim SQL-Server mit SQL Management Studio an.
  2. Klicken Sie im Objekt-Explorer mit der rechten Maustaste auf den SQL-Server und wählen Sie Eigenschaften:

    Objekt-Explorer von MS SQL-Server

  3. Wählen Sie im Fenster Objekt-Explorer den Knoten Verbindungen. Aktivieren oder deaktivieren Sie unter Remoteserververbindungen das Kontrollkästchen Remoteverbindungen mit diesem Server zulassen:

MS SQL-Serververbindungen

Nach dem Update der Remoteserververbindung:

  1. Klicken Sie im Startmenü auf Start > Microsoft SQL Server Version > SQL Server Version Configuration Manager. Das Fenster SQL Server-Konfigurations-Manager wird angezeigt.
  2. Erweitern Sie die Option SQL Server-Netzwerkkonfiguration. Wählen Sie Protokolle für (Ihr Servername). Wählen Sie TCP/IP und klicken Sie mit der rechten Maustaste. Wählen Sie im Kontextmenü die Option Aktivieren. Klicken Sie auf OK, um den Dienst neu zu starten.

TCP/IP von MS SQL-Server

Ändern Sie nach dem Neustart des Diensts den Startmodus. Im Fenster SQL Server-Konfigurations-Manager:

  1. Wählen Sie SQL Server-Dienste. Klicken Sie im rechten Bereich mit der rechten Maustaste auf die Option SQL Server-Browser, um ein Kontextmenü anzuzeigen.
  2. Wählen Sie Eigenschaften.
  3. Ändern Sie auf der Registerkarte Dienst den Startmodus in Automatisch.
  4. Klicken Sie auf OK.

Eigenschaften des MS SQL Server-Browsers

  1. Wählen Sie den SQL Server-Browser und klicken Sie mit der rechten Maustaste, um ein Kontextmenü anzuzeigen. Klicken Sie auf Starten.
  2. Wählen Sie den Instanznamen von SQL Server und klicken Sie mit der rechten Maustaste, um ein Kontextmenü anzuzeigen. Klicken Sie auf Neu starten.

Erstellen einer Ausnahme für SQL Server in der Windows-Firewall

Verwenden Sie die Informationen in diesem Abschnitt, um eine Ausnahme für SQL Server in Umgebungen mit Windows-Firewall zu erstellen:

  1. Öffnen Sie die Systemsteuerung und wählen Sie System und Sicherheit.
  2. Wählen Sie Windows Defender Firewall:

    MS SQL Server Windows Defender Firewall

  3. Klicken Sie auf Eine App oder ein Feature durch die Windows Defender Firewall zulassen. Aktivieren Sie die Windows-Firewall:

    MS SQL Server aktiviert Windows Defender Firewall

  4. Klicken Sie im Fenster Kommunikation von Apps durch die Windows-Firewall zulassen auf Andere App zulassen…:

    MS SQL Server lässt Firewall-Apps zu

  5. Klicken Sie im Bildschirm App hinzufügen auf Durchsuchen.
  6. Navigieren Sie zum SQL-Dienst sqlserver.exe und klicken Sie auf Öffnen. Der Standardpfad zu sqlserver.exe lautet:

    • SQL 2019 — C:\Program Files\Microsoft SQL Server\MSSQL15.<SQL Instance Name>\MSSQL\Binn
    • SQL 2017 — C:\Program Files\Microsoft SQL Server\MSSQL14.<SQL Instance Name>\MSSQL\Binn
  7. Klicken Sie auf Hinzufügen:

MS SQL Server lässt Firewall-Apps zu

  1. Wiederholen Sie die Schritte 4 bis 7 für C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.
  2. Klicken Sie auf OK.

Kerberos-Sicherheit

In der Standardeinstellung verwenden die Citrix Provisioning-Konsole, der Imagingassistent, das PowerShell-Snap-In und MCLI in einer Active Directory-Umgebung für die Kommunikation mit dem SOAP-Dienst die Kerberos-Authentifizierung. Im Rahmen der Kerberos-Architektur muss sich ein Dienst beim Domänencontroller (Kerberos Key Distribution Center) registrieren (ein SPN (Service Principal Name) erstellen). Die Registrierung ist wichtig, da Active Directory dann das Konto erkennen kann, unter dem der SOAP-Dienst ausgeführt wird. Wenn die Registrierung nicht durchgeführt wird, schlägt die Kerberos-Authentifizierung fehl und Citrix Provisioning greift auf die NTLM-Authentifizierung zurück.

Der Citrix Provisioning-SOAP-Dienst wird bei jedem Dienststart registriert und die Registrierung wird beim Anhalten des Diensts aufgehoben. Die Registrierung schlägt fehl, wenn das Dienstbenutzerkonto keine Berechtigungen hat. In der Standardeinstellung haben das Netzwerkdienstkonto und die Domänenadministratoren Berechtigungen; ein normales Domänenbenutzerkonto hat keine Berechtigungen.

Sie vermeiden dieses Problem mit einer der folgenden Vorgehensweisen:

  • Verwenden Sie ein anderen Konto, das SPNs erstellen kann.

  • Weisen Sie dem Dienstkonto Berechtigungen zu.

||| |Kontotyp|Berechtigung| |—|—| |Computerkonto|Schreibrechte für geprüften SPN| |Benutzerkonto|Schreibrechte für öffentliche Informationen|

Vorbereitungen zur Installation