Tech Brief: Workspace Environment Management

Einführung

Workspace Environment Management (WEM) verwendet intelligente Ressourcenverwaltungs- und Profilverwaltungstechnologien, um die bestmögliche Leistung, Desktop-Anmeldung und Anwendungsreaktionszeiten für Bereitstellungen von Citrix Virtual Apps and Desktops zu liefern.
WEM verfügt über mehrere Sicherheitsfunktionen, die die Sicherheitslage der Bereitstellung stärken. Es ist eine reine Softwarelösung ohne Treiber.

Architektur

Workspace Environment Management kann on-premises installiert oder als Dienst von Citrix Cloud aus aufgerufen werden.

WEM überträgt die Profileinstellungen an die Benutzer und Maschinen, die die Sitzung ausführen, und erhält die Daten aus dem Active Directoryder Organisation.

WEM Agent - Der WEM-Agent ist sowohl bei den Optionen für die on-premises als auch für die Servicebereitstellung üblich.
Es wird auf Windows-Sitzungshosts oder physischen Computern installiert, die von WEM verwaltet werden. Der WEM-Agent überwacht den Host in Echtzeit und meldet den Status der Maschine.
Es erhält Anweisungen von den WEM Infrastructure Services, Richtlinieneinstellungen auf den Computer anzuwenden und zu konfigurieren. Die Agenten pflegen einen lokalen Cache der Einstellungen, um den Situationen widerstandsfähig zu sein, in denen der WEM-Server/Dienst nicht erreichbar ist.

Bereitstellung vor Ort

Die on-premises WEM Bereitstellungsarchitektur:

on-premises Architektur von Workspace Environment Management

Die anderen Komponenten der On-Premises-Architektur sind:

WEM-Verwaltungskonsole — Bereitgestellt auf einem Windows-OS-Computer mit einer oder mehreren Sitzungen auf der Konsole, mit der WEM verwaltet wird. Es interagiert mit dem Infrastrukturserver und ermöglicht Administratoren die Steuerung der verschiedenen Funktionen.

WEM Infrastructure Server — Die Dienste sind auf einer Multisitzungs-Windows-OS-Maschine installiert und erleichtern die Kommunikation und Synchronisierung zwischen den verschiedenen Komponenten der WEM-Bereitstellung.

SQL Server-Datenbank — WEM benötigt eine SQL Server-Datenbank, um ihre Einstellungen zu speichern. Die Datenbank kann bei Bedarf in einer SQL Server Always On-Verfügbarkeitsgruppe gehostet werden.

WEM Service

Die WEM Service-Deployment Architektur:

Workspace Environment Management Service-Architektur

Wenn der von Citrix Cloud gehostete WEM Service verwendet wird, werden die Steuerungs- und Datenbankkomponenten in der Cloud gehostet und von Citrix verwaltet.
Die Admin-Konsole, die Infrastrukturdienste und die in Azure SQL gehostete Datenbank sind Teil des Dienstes. Der Zugriff auf die Admin-Konsole erfolgt über die Registerkarte Verwalten, wenn Sie über die Citrix Cloud-Webkonsole auf WEM Service zugreifen.

Cloud Connectors— Ein Citrix Cloud Connector ist der Kanal für die Kommunikation von Entitäten an einem Ressourcenstandort mit den Citrix Cloud-Diensten.
Aus Gründen der Ausfallsicherheit empfehlen wir, an jedem Ressourcenstandort mindestens ein Paar Cloud Connectors zu installieren. Der WEM Service verwendet die Cloud Connectors, um auf das Active Directory des Kunden zuzugreifen und die WEM-Agenten am Ressourcenstandort zu authentifizieren.

WEM-Agent - Er interagiert mit den WEM Serviceen über HTTPS unter Verwendung des Citrix Cloud Messaging Service.
Die Agenten pflegen einen lokalen Cache der Einstellungen, um gegen Netzwerkunterbrechungen und Serviceausfälle resistent zu sein. Zum Zeitpunkt des Schreibens dieses Artikels kann eine einzelne Dienstinstanz 100.000 WEM-Agenten unterstützen. Auf der Seite “Limits” finden Sie die aktuelle Anzahl der unterstützten WEM-Agenten pro WEM-Dienstinstanz.

Migration von WEM on-premises auf den WEM-Service

Die Migration beinhaltet das Exportieren der on-premises SQL-Serverinhalte und das Hochladen in den Dienst. Ein Toolkit wird ausgeführt, um die vorhandene on-premises WEM-Datenbank auf den WEM Service zu migrieren. Das Toolkit enthält einen Assistenten zum Generieren einer SQL-Datei, die den Inhalt der on-premises WEM-Datenbank enthält. Ein Administrator kann dann die SQL-Datei in die Azure-Datenbank des WEM Servicees hochladen. Weitere Informationen finden Sie unter Migrate to WEM-Dienst.

WEM Funktionen

Nachdem wir die Architektur der on-premises und Serviceangebote von WEM verstanden haben, schauen wir uns die Funktionen an, die WEM Organisationen zur Verfügung stellt. Es gibt drei Haupt-Feature-Sets:

  1. Ressourcen-Management

  2. Profilverwaltung

  3. Sicherheitsfunktionen

Ressourcen-Management

Um den Benutzern das beste Erlebnis zu bieten, überwacht und analysiert der WEM-Agent das Benutzer- und Anwendungsverhalten innerhalb der Sitzung in Echtzeit. Anschließend passt es RAM, CPU und E/A in der Umgebung des Benutzerarbeitsbereichs intelligent an.

RAM-Optimierung

Wenn ein neuer Prozess gestartet wird, nimmt er mehr Arbeitsspeicher in Anspruch, als er für den normalen Betrieb benötigt. Im Allgemeinen gibt der Prozess diese Ressourcen jedoch nicht auf, sobald sie ihm zugewiesen wurden.
WEM erkennt in Echtzeit, welche Prozesse im Fokus des Anwenders stehen. Ein Teil des RAM-Arbeitssatzes von Apps, die nicht im Fokus sind, kann dann zurückgewonnen werden.
Es wird beobachtet, dass diese Apps, selbst wenn sie wieder in den Fokus gerückt sind, im Allgemeinen eine kleinere Teilmenge der Menge an RAM benötigen, die von ihnen zurückgewonnen wurde.
Diese Aktionen optimieren den RAM-Verbrauch in der Cloud und erhöhen die Skalierbarkeit eines Einzelservers.

Das folgende Diagramm zeigt die Menge an Speicher, die von einer Reihe von Sitzungen mit und ohne WEM verbraucht wird.

WEM RAM-Optimierung

Sehen Sie sich hierdas Tech Insight Video zur RAM-Optimierung an.

CPU-Optimierung

Ein Prozess, bei dem festgestellt wird, dass er CPU-Ressourcen beansprucht, wirkt sich nicht nur negativ auf die Sitzung aus, in der er ausgeführt wird, sondern verlangsamt auch andere Sitzungen, die auf demselben Computer ausgeführt werden, und wirkt sich sogar auf die Anmeldezeiten anderer Benutzer aus.

Die CPU-Optimierung mit WEM beinhaltet die Echtzeitüberwachung der Prozesse, die auf jeder VM ausgeführt werden. Wenn festgestellt wird, dass ein Prozess CPU-Ressourcen in Anspruch nimmt (für eine bestimmte Zeit), reduziert WEM automatisch die Priorität des Prozesses.
Diese Aktion ermöglicht es anderen Prozessen, die CPU zu verwenden, und verringert die Serverlast. Wenn festgestellt wird, dass der Prozess zu einem niedrigen CPU-Verbrauch zurückgekehrt ist, wird seine Priorität auf den Normalwert zurückgesetzt.

WEM CPU-Optimierung

Sehen Sie sich hierdas Tech Insight-Video zur CPU-Optimierung an

Um die Auswirkungen der CPU-Optimierung durch WEM zu validieren, wurden in einem lauten Nachbarszenario die auf Login VSI basierenden Skalentests durchgeführt.
Um einen lauten Nachbarn zu simulieren, wird ein Benutzer, der nicht Teil des LoginVSI-Wissensarbeiter-Testlaufs ist, zum Test-Setup hinzugefügt.
Die Sitzung dieses Benutzers ist so konfiguriert, dass ein Prozess gestartet wird, der 3 CPU-Kerne verbraucht, was durchschnittlich 50%-70% der gesamten CPU entspricht, basierend auf der Anzahl der Kerne in der Azure-VM.

Windows 10 2004-VMs mit mehreren Sitzungen wurden getestet, wobei CVAD 2006 installiert war und der Citrix Optimizer und der WEM Agent über HDX angewendet wurden. Um die Testergebnisse zu absolvieren, wurde derselbe Test mit Microsoft RDP ausgeführt wie das Verbindungsprotokoll, und die VMs hatten Out-of the Box-Optimierungen von Microsoft.

Wie aus der folgenden Tabelle hervorgeht, unterdrückt die Einbeziehung von WEM den Effekt, dass die CPU einen lauten Nachbarn verbraucht. Die Integration von WEM erhöht den VSImax (keine der Benutzer, die auf dem Computer unterstützt werden können) von 20% auf 43%. Dies führt zu einer höheren Anzahl von Benutzern, die auch im Stressszenario auf einer einzelnen VM ausgeführt werden können.

Skalierungsaufschlüsselung mit dem Szenario “Noisy Neighbor”:

Azure-Größe Basis Citrix HDX % Verbesserung der WEM Skalierbarkeit
D4V3 7.3 11.3 43.0%
D3V2 12 16 28.6%
D4V2 28 34.5 20.8%

Da WEM CPU-Spitzen reduziert, ist eine weitere wichtige Schlussfolgerung aus den Ergebnissen, dass die Reaktionszeit für den Benutzer viel besser ist. Citrix Virtual Apps and Desktops-Sitzungen haben eine fast 1000 ms niedrigere Reaktionszeit im Vergleich zur Basislinie (im Moment, in dem VSIMax für dieselbe Anzahl von Benutzern erreicht wird).

In ähnlicher Weise ist die in der Sitzung beobachtete Latenz bei beiden Rechnern mit 4 vCPUs zwischen 25% und 50% geringer. Beide Ergebnisse deuten auf eine viel sanftere und schlichtere Benutzererfahrung hin, wenn WEM auf dem Bild ist.

Diagramm zur WEM-Latenzverbesserung

Anmeldungsoptimierung

Um die bestmögliche Anmeldungsleistung zu erzielen, ersetzt der WEM Service häufig verwendete Objekte des Windows-Gruppenrichtlinienobjekts, Anmeldeskripts und -einstellungen durch einen Agenten, der auf jeder virtuellen Maschine oder jedem Server bereitgestellt wird.
Der Agent ist Multithreaded und wendet Änderungen nur bei Bedarf an Benutzerumgebungen an, um sicherzustellen, dass Benutzer immer so schnell wie möglich auf ihren Desktop zugreifen können. Zeitaufwändige Prozesse werden nicht synchron mit dem ersten Anmeldevorgang abgewickelt.

WEM Logon Prozessoptimierung

Sehen Sie sich hierdas Tech Insight-Video zur Anmeldeoptimierung an.

Profilverwaltung

Stellt eine Verwaltungsschnittstelle für die Citrix Profile Management bereit. Unter den Einstellungen für die Citrix Profile Management (unter Richtlinien und Profile) unterstützt die Konsole die Konfiguration aller Einstellungen für die aktuelle Version von Citrix Profile Management.

Sicherheitsfunktionen

WEM enthält mehrere Funktionen, die die Sicherheitslage stärken und die Bedrohungsfläche des Einsatzes reduzieren.

Anwendungssicherheit

Die Application Security-Komponente von WEM ist ein Front-End für Microsoft AppLocker.

Sicherheitskonsole für WEM-Anwendungen

Das Festlegen von Anwendungssicherheitsrichtlinien (AppLocker) mit Workspace Environment Management erfolgt auf den gleichen Prozess wie bei Gruppenrichtlinienobjekten. Administratoren erstellen Regeln für ausführbare Dateien, Windows Installer, Skripts, Pakete und DLLs. Für jede Regel stehen dieselben Optionen zur Verfügung, um die Regel auf einem Verlag, Pfad oder einem Datei-Hash zu basieren. Im Gegensatz zu AppLocker ermöglicht WEM dem Administrator jedoch, mehrere Regeln auszuwählen und zugewiesene Benutzer zu ändern, wodurch Hunderte von Richtlinien für die Anwendungssicherheit einfach unterstützt werden können.

Die WEM-Richtlinien-Engine stellt sicher, dass die AppLocker-Richtlinien im Vergleich zum GPO-basierten Ansatz mit AppLocker konsistenter auf alle verwalteten Sitzungen angewendet werden.

Berechtigungserhöhung

In vielen Fällen benötigen Benutzer Administratorrechte, um Anwendungen installieren oder ausführen zu können. Da die meisten Organisationen das Prinzip der geringsten Privilegien übernehmen, erhalten Endbenutzer im Allgemeinen keine Administratorrechte.

Wenn sie benötigt werden, muss sich der Administrator entweder am System anmelden (physisch oder per Fernzugriff) oder dem Benutzer ein temporäres Admin-Kennwort geben. Diese Vorgehensweise ist für den Administrator mühsam oder führt zur Erstellung von Workarounds für die Sicherheitsrichtlinie.

WEM Privilegien-Höhenkonsole

Mit dieser Funktion kann der Administrator die Benutzerrechte vorübergehend auf lokale Administratorrechte erhöhen und so die erforderliche Anwendung installieren oder ausführen.
Die Apps, die auf der Liste der zulässigen Apps stehen, können mit dieser Funktion installiert werden, während die Apps auf der Sperrliste nicht installiert werden können. Alle Operationen werden protokolliert.
Jede Regel basiert entweder auf dem Pfad, dem Herausgeber oder dem Hash der ausführbaren Datei.

Wenn eine neue Regel hinzugefügt wird, stehen drei Optionen zur Verfügung: Auf untergeordnete Prozesse anwenden, wenn Sie untergeordnete Prozesse die Berechtigtenerhöhung erben möchten oder nicht.

Mit den Optionen Start- und Endzeit kann die Höhe auf einen bestimmten Zeitraum beschränkt werden.

Bereitstellungsoption

Es gibt drei Arten von Konfigurationen für die Bereitstellung von WEM. Verwenden Sie den Typ, der am besten zur tatsächlichen Umgebung passt.

Einzelne Domäne in einer einzigen Gesamtstruktur

Diese Konfiguration kann in einer Umgebung verwendet werden, die eine einzelne Domäne in einer einzelnen Gesamtstruktur hat.
Normalerweise enthält diese einzelne Domäne alle Ressourcen und Benutzerobjekte. Der Administrator muss also nur einen Satz von Cloud Connectors bereitstellen, damit alle Ihre Geräte eine Verbindung zum WEM Service herstellen können.

Mehrere Domains in einer einzigen Gesamtstruktur

Diese Konfiguration kann in Umgebungen verwendet werden, in denen mehrere Domänen in einer einzelnen Gesamtstruktur existieren.
Da die Domänen in der Gesamtstruktur miteinander kommunizieren können, muss der Administrator nur einen Satz von Cloud Connectors bereitstellen, damit alle Ihre Geräte eine Verbindung zum WEM Service herstellen können.

Benutzer und Ressourcen in getrennten Wäldern (mit Vertrauen)

In dieser Konfiguration befinden sich Benutzer und Ressourcen zu Verwaltungszwecken in verschiedenen Domänenstrukturen. Zwischen den beiden Wäldern besteht ein Vertrauen, das es den Benutzern ermöglicht, sich bei Ressourcen in einer anderen Gesamtstruktur anzumelden.
Bei dieser Bereitstellung muss der Administrator Cloud Connectors in jeder Domänengesamtlage bereitstellen, um die WEM-Bereitstellung abzuschließen.

Überlegungen zur Konfiguration

Der WEM-Service ist für große Unternehmensbereitstellungen konzipiert. Auf der Serverseite überwacht der WEM Service den Kommunikationsfluss zwischen Front- und Back-End-Komponenten und skaliert basierend auf Daten während der Übertragung dynamisch nach oben oder unten. Bei der Bewertung des WEM Service im Hinblick auf Größe und Skalierbarkeit sind die Maschinengröße und Anzahl der Cloud-Connectors wichtig.
Um eine hohe Verfügbarkeit sicherzustellen, empfehlen wir mindestens zwei Cloud Connectors an jedem Ressourcenstandort, basierend auf den zuvor besprochenen Bereitstellungsoptionen.

Informationen zur Größenbestimmung von Cloud Connectors finden Sie unter Citrix Cloud Connector.

Weitere Informationen finden Sie in der WEM-Produktdokumentation.

Die neuesten Updates zu WEM finden Sie unter Was ist neu.