Tech Brief: Workspace Environment Management
Einführung
Workspace Environment Management (WEM) verwendet intelligente Ressourcenverwaltungs- und Profilverwaltungstechnologien, um die bestmögliche Leistung, Desktop-Anmeldung und Anwendungsreaktionszeiten für Bereitstellungen von Citrix Virtual Apps and Desktops zu liefern. WEM verfügt über mehrere Sicherheitsfunktionen, die die Sicherheitslage der Bereitstellung stärken. Es ist eine reine Softwarelösung ohne Treiber.
Architektur
Workspace Environment Management kann on-premises installiert oder als Dienst von Citrix Cloud aus aufgerufen werden.
WEM überträgt die Profileinstellungen an die Benutzer und Maschinen, die die Sitzung ausführen, und erhält die Daten aus dem Active Directoryder Organisation.
WEM Agent - Der WEM-Agent ist sowohl bei den Optionen für die on-premises als auch für die Servicebereitstellung üblich. Es wird auf Windows-Sitzungshosts oder physischen Computern installiert, die von WEM verwaltet werden. Der WEM-Agent überwacht den Host in Echtzeit und meldet den Status der Maschine. Es erhält Anweisungen von den WEM Infrastructure Services, Richtlinieneinstellungen auf den Computer anzuwenden und zu konfigurieren. Die Agenten pflegen einen lokalen Cache der Einstellungen, um den Situationen widerstandsfähig zu sein, in denen der WEM-Server/Dienst nicht erreichbar ist.
Bereitstellung vor Ort
Die on-premises WEM Bereitstellungsarchitektur:
Die anderen Komponenten der On-Premises-Architektur sind:
WEM-Verwaltungskonsole — Bereitgestellt auf einem Windows-OS-Computer mit einer oder mehreren Sitzungen auf der Konsole, mit der WEM verwaltet wird. Es interagiert mit dem Infrastrukturserver und ermöglicht Administratoren die Steuerung der verschiedenen Funktionen.
WEM Infrastructure Server — Die Dienste sind auf einer Multisitzungs-Windows-OS-Maschine installiert und erleichtern die Kommunikation und Synchronisierung zwischen den verschiedenen Komponenten der WEM-Bereitstellung.
SQL Server-Datenbank — WEM benötigt eine SQL Server-Datenbank, um ihre Einstellungen zu speichern. Die Datenbank kann bei Bedarf in einer SQL Server Always On-Verfügbarkeitsgruppe gehostet werden.
WEM Service
Die WEM Service-Deployment Architektur:
Wenn der von Citrix Cloud gehostete WEM Service verwendet wird, werden die Steuerungs- und Datenbankkomponenten in der Cloud gehostet und von Citrix verwaltet. Die Admin-Konsole, die Infrastrukturdienste und die in Azure SQL gehostete Datenbank sind Teil des Dienstes. Der Zugriff auf die Admin-Konsole erfolgt über die Registerkarte Verwalten, wenn Sie über die Citrix Cloud-Webkonsole auf WEM Service zugreifen.
Cloud Connectors — Ein Citrix Cloud Connector ist der Kanal für die Kommunikation von Entitäten an einem Ressourcenstandort mit den Citrix Cloud-Diensten. Aus Ausfallsicherheit empfehlen wir, dass an jedem Ressourcenstandort mindestens ein Paar Cloud-Konnektoren installiert ist. Der WEM Service verwendet die Cloud Connectors, um auf das Active Directory des Kunden zuzugreifen und die WEM-Agenten am Ressourcenstandort zu authentifizieren.
WEM-Agent - Er interagiert mit den WEM Serviceen über HTTPS unter Verwendung des Citrix Cloud Messaging Service. Die Agenten pflegen einen lokalen Cache der Einstellungen, um gegen Netzwerkunterbrechungen und Serviceausfälle resistent zu sein. Zum Zeitpunkt des Schreibens dieses Artikels kann eine einzelne Dienstinstanz 100.000 WEM-Agenten unterstützen. Auf der Seite “Limits” finden Sie die aktuelle Anzahl der unterstützten WEM-Agenten pro WEM-Dienstinstanz.
Migration von WEM on-premises auf den WEM-Service
Die Migration beinhaltet das Exportieren der on-premises SQL-Serverinhalte und das Hochladen in den Dienst. Ein Toolkit wird ausgeführt, um die vorhandene on-premises WEM-Datenbank auf den WEM Service zu migrieren. Das Toolkit enthält einen Assistenten zum Generieren einer SQL-Datei, die den Inhalt der on-premises WEM-Datenbank enthält. Ein Administrator kann dann die SQL-Datei in die Azure-Datenbank des WEM Servicees hochladen. Weitere Informationen finden Sie unter Migrate to WEM-Dienst.
WEM Funktionen
Nachdem wir die Architektur der on-premises und Serviceangebote von WEM verstanden haben, schauen wir uns die Funktionen an, die WEM Organisationen zur Verfügung stellt. Es gibt drei Haupt-Feature-Sets:
Ressourcen-Management
Um den Benutzern das beste Erlebnis zu bieten, überwacht und analysiert der WEM-Agent das Benutzer- und Anwendungsverhalten innerhalb der Sitzung in Echtzeit. Anschließend passt es RAM, CPU und E/A in der Umgebung des Benutzerarbeitsbereichs intelligent an.
RAM-Optimierung
Wenn ein neuer Prozess gestartet wird, nimmt er mehr Arbeitsspeicher in Anspruch, als er für den normalen Betrieb benötigt. Im Allgemeinen gibt der Prozess diese Ressourcen jedoch nicht auf, sobald sie ihm zugewiesen wurden. WEM erkennt in Echtzeit, welche Prozesse im Fokus des Nutzers stehen. Ein Teil des RAM-Arbeitssatzes von Apps, die nicht im Fokus sind, kann dann zurückgewonnen werden. Es wird beobachtet, dass diese Apps, selbst wenn sie wieder in den Fokus gerückt sind, im Allgemeinen eine kleinere Teilmenge der Menge an RAM benötigen, die von ihnen zurückgewonnen wurde. Diese Aktionen optimieren den RAM-Verbrauch in der Cloud und erhöhen die Skalierbarkeit eines Einzelservers.
Das folgende Diagramm zeigt die Menge an Speicher, die von einer Reihe von Sitzungen mit und ohne WEM verbraucht wird.
Sehen Sie sich hierdas Tech Insight Video zur RAM-Optimierung an.
CPU-Optimierung
Wenn festgestellt wird, dass ein Prozess CPU-Ressourcen in Anspruch nehmen, kann dies nicht nur die Sitzung, in der er ausgeführt wird, negativ beeinflussen, sondern auch andere Sitzungen verlangsamen, die auf demselben Computer ausgeführt werden, und sogar die Anmeldezeiten für andere Benutzer beeinträchtigen.
Die CPU-Optimierung mit WEM beinhaltet eine Echtzeitüberwachung des auf jeder VM ausgeführten Prozesses. Wenn festgestellt wird, dass ein Prozess CPU-Ressourcen in Anspruch nimmt (für eine bestimmte Zeit), reduziert WEM automatisch die Priorität des Prozesses. Diese Aktion ermöglicht es anderen Prozessen, die CPU zu verwenden und die Serverlast zu verringern. Wenn festgestellt wird, dass der Prozess zu einem niedrigen CPU-Verbrauch zurückgekehrt ist, wird seine Priorität auf den Normalwert zurückgesetzt.
Sehen Sie sich hierdas Tech Insight-Video zur CPU-Optimierung an
Um die Auswirkungen der CPU-Optimierung durch WEM zu validieren, wurden in einem lauten Nachbarszenario die auf Login VSI basierenden Skalentests durchgeführt. Um einen lauten Nachbarn zu simulieren, wird ein Benutzer, der nicht Teil des LoginVSI-Wissensarbeiter-Testlaufs ist, zum Test-Setup hinzugefügt. Die Sitzung dieses Benutzers ist so konfiguriert, dass ein Prozess gestartet wird, der 3 CPU-Kerne für durchschnittlich 50% -70% der gesamten CPU verbraucht, basierend auf der Anzahl der Kerne in der Azure-VM.
Windows 10 2004-Multisitzungs-VMs wurden mit installiertem CVAD 2006 und dem Citrix Optimizer und WEM-Agenten über HDX getestet. Um die Testergebnisse zu absolvieren, wurde derselbe Test mit Microsoft RDP ausgeführt wie das Verbindungsprotokoll, und die VMs hatten Out-of the Box-Optimierungen von Microsoft.
Wie aus der folgenden Tabelle ersichtlich ist, unterdrückt die Einbeziehung von WEM die Wirkung der CPU, die laute Nachbarn verbraucht. Die Integration von WEM erhöht den VSImax (keine der Benutzer, die auf dem Computer unterstützt werden können) von 20% auf 43%. Dies führt zu einer höheren Anzahl von Benutzern, die auch im Stressszenario auf einer einzelnen VM ausgeführt werden können.
Skalierungsaufschlüsselung mit dem Szenario “Noisy Neighbor”:
| Azure-Größe | Basis | Citrix HDX | % Verbesserung der WEM Skalierbarkeit |
|---|---|---|---|
| D4V3 | 7.3 | 11.3 | 43,0% |
| D3V2 | 12 | 16 | 28,6% |
| D4V2 | 28 | 34,5 | 20,8% |
Da WEM CPU-Spitzen reduziert, ist ein weiterer wichtiger Rückschluss auf die Ergebnisse, dass die Reaktionszeit für den Benutzer viel besser ist. Citrix Virtual Apps and Desktops-Sitzungen haben eine fast 1000 ms niedrigere Reaktionszeit im Vergleich zur Basislinie (im Moment, in dem VSIMax für dieselbe Anzahl von Benutzern erreicht wird).
In ähnlicher Weise ist die in der Sitzung beobachtete Latenz bei beiden Rechnern mit 4 vCPUs zwischen 25% und 50% geringer. Beide Ergebnisse deuten auf eine viel sanftere und schlichtere Benutzererfahrung hin, wenn WEM auf dem Bild ist.
Anmeldungsoptimierung
Um die bestmögliche Anmeldungsleistung zu erzielen, ersetzt der WEM Service häufig verwendete Objekte des Windows-Gruppenrichtlinienobjekts, Anmeldeskripts und -einstellungen durch einen Agenten, der auf jeder virtuellen Maschine oder jedem Server bereitgestellt wird. Der Agent ist Multithreaded und wendet Änderungen nur bei Bedarf an Benutzerumgebungen an, um sicherzustellen, dass Benutzer immer so schnell wie möglich auf ihren Desktop zugreifen können. Zeitaufwändige Prozesse werden nicht synchron mit dem anfänglichen Anmeldeprozess behandelt.
Sehen Sie sich hierdas Tech Insight-Video zur Anmeldeoptimierung an.
Profilverwaltung
Stellt eine Verwaltungsschnittstelle für die Citrix Profile Management bereit. Unter den Einstellungen für die Citrix Profile Management (unter Richtlinien und Profile) unterstützt die Konsole die Konfiguration aller Einstellungen für die aktuelle Version von Citrix Profile Management.
Sicherheitsfunktionen
WEM enthält mehrere Funktionen, die die Sicherheitslage stärken und die Bedrohungsfläche des Einsatzes reduzieren.
Anwendungssicherheit
Die Application Security-Komponente von WEM ist ein Front-End für Microsoft AppLocker.
Das Festlegen von Anwendungssicherheitsrichtlinien (AppLocker) mit Workspace Environment Management erfolgt auf den gleichen Prozess wie bei Gruppenrichtlinienobjekten. Administratoren erstellen Regeln für ausführbare Dateien, Windows Installer, Skripts, Pakete und DLLs. Für jede Regel stehen dieselben Optionen zur Verfügung, um die Regel auf einem Verlag, Pfad oder einem Datei-Hash zu basieren. Im Gegensatz zu AppLocker ermöglicht WEM dem Administrator jedoch, mehrere Regeln auszuwählen und zugewiesene Benutzer zu ändern, wodurch Hunderte von Richtlinien für die Anwendungssicherheit einfach unterstützt werden können.
Die WEM-Policy-Engine stellt sicher, dass die AppLocker-Richtlinien konsistenter auf alle Sitzungen angewendet werden, die im Vergleich zum GPO-basierten Ansatz mit AppLocker verwaltet werden.
Berechtigungserhöhung
In vielen Fällen benötigen Benutzer Administratorrechte, um Anwendungen installieren oder ausführen zu können. Da die meisten Organisationen das Prinzip der geringsten Privilegien übernehmen, erhalten Endbenutzer im Allgemeinen keine Administratorrechte.
In den Szenarien, in denen sie erforderlich sind, muss sich der Administrator entweder beim System anmelden (physisch oder per Fernzugriff) oder dem Benutzer ein temporäres Admin-Kennwort zur Verfügung stellen. Diese Vorgehensweise ist für den Administrator mühsam oder endet in der Erstellung von Problemumgehungen für die Sicherheitsrichtlinie.
Die Funktion ermöglicht es dem Administrator, die Rechte des Benutzers vorübergehend auf lokale Administratorrechte zu erhöhen und so die erforderliche Anwendung zu installieren oder auszuführen. Die Apps, die sich auf der genehmigten Liste befinden, können mit dieser Funktion installiert werden, während die Apps auf der blockierten Liste nicht installiert werden können und die Vorgänge protokolliert werden. Jede Regel basiert entweder auf dem Pfad, dem Herausgeber oder dem Hash der ausführbaren Datei.
Wenn eine neue Regel hinzugefügt wird, stehen drei Optionen zur Verfügung: Auf untergeordnete Prozesse anwenden, wenn Sie untergeordnete Prozesse die Berechtigtenerhöhung erben möchten oder nicht.
Mit den Optionen Start- und Endzeit kann die Höhe auf einen bestimmten Zeitraum beschränkt werden.
Bereitstellungsoption
Es gibt drei Arten von Konfigurationen für die Bereitstellung von WEM. Verwenden Sie den Typ, der am besten zur tatsächlichen Umgebung passt.
Einzelne Domäne in einer einzigen Gesamtstruktur
Diese Konfiguration kann in einer Umgebung verwendet werden, die eine einzelne Domäne in einer einzelnen Gesamtstruktur hat. Normalerweise enthält diese einzelne Domäne alle Ressourcen und Benutzerobjekte. In dieser Konfiguration muss der Administrator also nur einen Satz von Cloud Connectors bereitstellen, damit alle Ihre Geräte eine Verbindung zum WEM Service herstellen können.
Mehrere Domains in einer einzigen Gesamtstruktur
Diese Konfiguration kann in Umgebungen verwendet werden, in denen mehrere Domänen in einer einzelnen Gesamtstruktur existieren. Da die Domänen in der Gesamtstruktur miteinander kommunizieren können, muss der Administrator in dieser Konfiguration nur einen Satz von Cloud Connectors bereitstellen, damit alle Ihre Geräte eine Verbindung zum WEM Service herstellen können.
Benutzer und Ressourcen in getrennten Wäldern (mit Vertrauen)
In dieser Konfiguration befinden sich Benutzer und Ressourcen zu Verwaltungszwecken in verschiedenen Domänenstrukturen. Zwischen den beiden Wäldern besteht ein Vertrauen, das es den Benutzern ermöglicht, sich bei Ressourcen in einer anderen Gesamtstruktur anzumelden. Bei dieser Bereitstellung muss der Administrator Cloud Connectors in jeder Domänengesamtlage bereitstellen, um die WEM-Bereitstellung abzuschließen.
Überlegungen zur Konfiguration
Der WEM-Service ist für große Unternehmensbereitstellungen konzipiert. Auf der Serverseite überwacht der WEM Service den Kommunikationsfluss zwischen Front- und Back-End-Komponenten und skaliert basierend auf Daten während der Übertragung dynamisch nach oben oder unten. Bei der Bewertung des WEM-Service auf Dimensionierung und Skalierbarkeit ist die Maschinengröße und die Anzahl der Cloud-Konnektoren wichtig. Um eine hohe Verfügbarkeit zu gewährleisten, empfehlen wir mindestens zwei Cloud Connectors an jedem Ressourcenstandort und basierend auf den zuvor beschriebenen Bereitstellungsoptionen.
Informationen zur Größenbestimmung von Cloud Connectors finden Sie unter Citrix Cloud Connector.
Weitere Informationen finden Sie in der WEM-Produktdokumentation.
Die neuesten Updates zu WEM finden Sie unter Was ist neu.