Vorbereitungen zur Installation

Vor der Installation und Konfiguration von Citrix Provisioning müssen Sie die folgenden Aufgaben ausführen.

Wichtig:

Installieren Sie alle aktuellen Windows-Updates, bevor Sie Provisioning Services-Komponenten installieren. Falls Sie Updates installieren müssen, empfiehlt Citrix, dass Sie nach der Installation aller Windows-Updates einen Neustart ausführen.

Auswählen und Konfigurieren der Microsoft SQL-Datenbank

Einer Farm ist nur eine Datenbank zugeordnet. Die Provisioning Services-Datenbanksoftware kann auf folgenden Computern installiert werden:

  • Computer mit einer vorhandenen SQL-Datenbank, wenn der Computer mit allen Provisioningservern der Farm kommunizieren kann.
  • Computer mit einer neuen SQL Express-Datenbank, die mit dem von Microsoft kostenfrei zur Verfügung gestellten SQL Server Express erstellt wurde.

In einer Produktionsumgebung empfiehlt es sich, die Datenbank und die Provisioningserver-Software auf separaten Servern zu installieren, um eine schlechte Verteilung beim Lastausgleich zu vermeiden.

Möglicherweise erstellt der Datenbankadministrator die Citrix Provisioning-Datenbank. Stellen Sie in diesem Fall dem MS SQL-Datenbankadministrator die Datei bereit, die mit dem Dienstprogramm DbScript.exe erstellt wurde. Dieses Dienstprogramm wird mit der Provisioning Services-Software erstellt.

Datenbankgröße

Informationen zur Datenbankgröße finden Sie unter https://msdn.microsoft.com/en-us/library/ms187445.aspx.

Beim Erstellen der Datenbank ist die Größe 20 MB und der Zuwachs 10 MB. Die anfängliche Größe des Datenbankprotokolls ist 10 MB und der Zuwachs 10 %.

Der Basiswert für den erforderlichen Speicherplatz ist 112 KB, und der Wert ändert sich nicht. Folgendes ist eingeschlossen:

  • DatabaseVersion-Datensatz benötigt ca. 32 KB
  • Farmdatensatz benötigt ca. 8 KB
  • DiskCreate-Datensatz benötigt ca. 16 KB
  • Notifications-Datensatz benötigt ca. 40 KB
  • ServerMapped-Datensatz benötigt ca. 16 KB

Basierend auf Objekten ist der variable Wert für den erforderlichen Speicherplatz wie folgt:

  • Zugriff und Gruppierungen (pro Objekt)
    • Benutzergruppe, die Systemzugriff hat, benötigt ca. 50 KB
    • Sitedatensatz benötigt ca. 4 KB
    • Sammlung benötigt ca. 10 KB
  • FarmView (jeweils)
    • FarmView benötigt ca. 4 KB
    • FarmView/Device-Beziehung benötigt ca. 5 KB
  • SiteView (jeweils)
    • SiteView benötigt ca. 4 KB
    • SiteView/Device-Beziehung benötigt ca. 5 KB
  • Zielgerät (jeweils)
    • Zielgerät benötigt ca. 2 KB
    • DeviceBootstrap benötigt ca. 10 KB
    • Device:Disk-Beziehung benötigt ca. 35 KB
    • Device:Printer-Beziehung benötigt ca. 1 KB
    • DevicePersonality benötigt ca. 1 KB
    • DeviceStatus beim Starten eines Geräts benötigt ca. 1 KB
    • DeviceCustomProperty benötigt ca. 2 KB
  • Datenträger (jeweils)
    • Eindeutiger Datenträger benötigt ca. 1 KB
    • DiskVersion benötigt ca. 3 KB
    • DiskLocator benötigt ca. 10 KB
    • DiskLocatorCustomProperty benötigt ca. 2 KB
  • Provisioningserver (jeweils)
    • Server benötigt ca. 5 KB
    • ServerIP benötigt ca. 2 KB
    • ServerStatus beim Starten eines Servers benötigt ca. 1 KB
    • ServerCustomProperty benötigt ca. 2 KB
  • Store (jeweils)
    • Store benötigt ca. 8 KB
    • Store:Serverbeziehung benötigt ca. 4 KB
  • Datenträgerupdate (jeweils)
    • VirtualHostingPool benötigt ca. 4 KB
    • UpdateTask benötigt ca. 10 KB
    • DiskUpdateDevice benötigt ca. 2 KB
    • DiskUpdateDevice:Disk-Beziehung benötigt ca. 35 KB
    • Disk:UpdateTask-Beziehung benötigt ca. 1 KB

Die folgenden Änderungen führen zur Zunahme der Speicherplatzanforderungen:

  • Jede verarbeitete Aufgabe (Beispiel: vDisk-Versionszusammenführung) benötigt ca. 2 KB
  • Wenn die Überwachung aktiviert ist, benötigt jede vom Administrator in der Konsole, in MCLI oder in der PowerShell-Oberfläche ausgeführte Änderung ca. 1 KB

Datenbankspiegelung

Damit Citrix Provisioning die MS SQL-Datenbankspiegelung unterstützt, muss die Datenbank mit der Option High-safety mode with a witness (synchronous) konfiguriert werden.

Wenn Sie das Feature für die Datenbankspiegelung verwenden, muss der SQL Native Client auf dem Server installiert sein. Bei der Installation von SQL wird ggf. die Option zum Installieren von SQL Native Client x64 oder x86 angezeigt.

Weitere Informationen zum Konfigurieren und Verwenden der Datenbankspiegelung finden Sie unter Datenbankspiegelung.

Datenbankclustering

Folgen Sie zum Implementieren des Datenbankclusterings den Anweisungen von Microsoft und führen Sie dann den Konfigurationsassistenten für Citrix Provisioning aus. Es sind keine weiteren Schritte erforderlich, da der Assistent den Cluster als einen einzigen SQL Server betrachtet.

Konfigurieren der Authentifizierung

Citrix Provisioning verwendet die Windows-Authentifizierung für den Zugriff auf die Datenbank. Die Microsoft SQL Server-Authentifizierung wird, ausgenommen vom Konfigurationsassistenten, nicht unterstützt.

Benutzerberechtigungen für den Konfigurationsassistenten

Der Benutzer, der den Konfigurationsassistenten ausführt, muss die folgenden MS SQL-Berechtigungen haben:

  • dbcreator zum Erstellen der Datenbank
  • securityadmin zum Erstellen der SQL-Anmeldungen für die Stream- und SOAP-Dienste

Bei Verwendung von MS SQL Express in einer Testumgebung können Sie dem Benutzer, der den Konfigurationsassistenten ausführt, sysadmin-Berechtigungen (die höchste Datenbankberechtigung) erteilen.

Wenn der Datenbankadministrator eine leere Datenbank bereitstellt, muss der Benutzer, der den Konfigurationsassistenten ausführt, der Eigentümer der Datenbank sein und die Berechtigung View any definition haben (diese Einstellungen werden vom Datenbankadministrator beim Erstellen der leeren Datenbank festgelegt).

Dienstkontoberechtigungen

Für den Benutzerkontext des Stream- und SOAP-Dienstes sind die folgenden Datenbankberechtigungen erforderlich:

  • db_datareader
  • db_datawriter
  • Ausführungsberechtigung für gespeicherte Prozeduren

Die Datenbankrollen für Datareader und Datawriter werden für das Benutzerkonto der Stream- und SOAP-Dienste mit dem Konfigurationsassistenten automatisch konfiguriert. Der Konfigurationsassistent weist diese Berechtigungen zu, wenn der Benutzer über die securityadmin-Berechtigung verfügt. Zudem muss der Dienstbenutzer die folgenden Systemberechtigungen haben:

  • Als Dienst ausführen
  • Lesezugriff auf die Registrierung
  • Zugriff auf Programme\Citrix\Provisioning Services
  • Lese-/Schreibzugriff auf jeden vDisk-Speicherort

Legen Sie fest, unter welchen der folgenden unterstützten Benutzerkonten der Stream- und SOAP-Dienst ausgeführt werden soll:

  • Netzwerkdienstkonto:

    Lokales Konto mit Mindestberechtigungen, das im Netzwerk als Domänenkonto des Computers authentifiziert wird.

  • Specified user account (erforderlich bei Verwendung einer Windows-Freigabe), das ein Arbeitsgruppen- oder Domänenbenutzerkonto sein kann.

Weil Citrix Provisioning die KMS-Lizenzierung unterstützt, muss das SOAP-Server-Benutzerkonto Mitglied der Gruppe lokaler Administratoren sein.

Da die Authentifizierung in Arbeitsgruppenumgebungen nicht üblich ist, müssen auf jedem Server Benutzerkonten mit Mindestberechtigungen erstellt werden und jede Instanz muss identische Anmeldeinformationen aufweisen.

Legen Sie die passende Sicherheitsoption für diese Farm fest (es kann nur eine Option pro Farm ausgewählt werden und die Auswahl wirkt sich auf die rollenbasierte Administration aus).

  • Use Active Directory groups for security: (Standard). Wählen Sie diese Option für eine Windows-Domäne, die Active Directory ausführt. Mit dieser Option können Sie Active Directory für die Citrix Provisioning-Administrationsrollen nutzen.

    Hinweis:

    Windows 2000-Domänen werden nicht unterstützt.

  • Use Windows groups for security: Wählen Sie diese Option für einen einzelnen Server oder in einer Arbeitsgruppe. Mit dieser Option können Sie die lokalen Benutzer/Gruppen auf diesem Server für Citrix Provisioning-Administrationsrollen nutzen.

Konsolenbenutzer greifen nicht direkt auf die Datenbank zu.

Zu den Mindestberechtigungen, die für zusätzliche Provisioning-Funktionalität benötigt werden, gehören u. a.:

  • Citrix Provisioning XenDesktop-Setupassistent, Setupassistent für gestreamte VMs und Imageupdatedienst
    • Mindestberechtigungen für vCenter, SCVMM und XenServer
    • Berechtigungen für den aktuellen Benutzer auf einem vorhandenen XenDesktop-Controller
    • Ein Citrix Provisioning Console-Benutzerkonto, das als XenDesktop-Administrator konfiguriert ist und einer PVS SiteAdmin-Gruppe oder höher hinzugefügt wurde
    • Active Directory-Berechtigung zum Erstellen von Konten, damit neue Konten in der Konsole erstellt werden können. Wenn Sie vorhandene Konten verwenden, müssen die Active Directory-Konten bereits in einer bekannten Organisationseinheit vorhanden sein, damit sie ausgewählt werden können.
    • Wenn Sie Personal vDisks mit XenDesktop verwenden, muss das Benutzerkonto für den SOAP-Server volle XenDesktop-Administratorrechte haben.
  • Active Directory-Kontosynchronisierung: Berechtigungen zum Erstellen, Zurücksetzen und Löschen
  • vDisk: Privilegien zum Durchführen von Volumenwartungsaufgaben

Kerberos-Sicherheit

In der Standardeinstellung verwenden die Citrix Provisioning Console, der Imagingassistent, das PowerShell-Snap-In und MCLI in einer Active Directory-Umgebung für die Kommunikation mit dem SOAP-Dienst die Kerberos-Authentifizierung. Im Rahmen der Kerberos-Architektur muss sich ein Dienst beim Domänencontroller (Kerberos Key Distribution Center) registrieren (ein SPN (Service Principal Name) erstellen). Die Registrierung ist wichtig, da Active Directory dann das Konto erkennen kann, unter dem der SOAP-Dienst ausgeführt wird. Wenn die Registrierung nicht durchgeführt wird, schlägt die Kerberos-Authentifizierung fehl und Citrix Provisioning greift auf die NTLM-Authentifizierung zurück.

Der Citrix Provisioning-SOAP-Dienst wird bei jedem Dienststart registriert und die Registrierung wird beim Anhalten des Diensts aufgehoben. Die Registrierung schlägt fehl, wenn das Dienstbenutzerkonto keine Berechtigungen hat. In der Standardeinstellung haben das Netzwerkdienstkonto und die Domänenadministratoren Berechtigungen; ein normales Domänenbenutzerkonto hat keine Berechtigungen.

Sie vermeiden dieses Problem mit einer der folgenden Vorgehensweisen:

  • Verwenden Sie ein anderen Konto, das SPNs erstellen kann.

  • Weisen Sie dem Dienstkonto Berechtigungen zu.

   
Kontotyp Berechtigung
Computerkonto Schreibrechte für geprüften SPN
Benutzerkonto Schreibrechte für öffentliche Informationen

Vorbereitungen zur Installation