Citrix Provisioning

Tareas anteriores a la instalación

Complete los procedimientos siguientes antes de instalar y configurar Citrix Provisioning.

Importante:

Todas las actualizaciones de Windows deben estar actualizadas antes de instalar los componentes de Citrix Provisioning. Citrix recomienda reiniciar después de instalar todas las actualizaciones de Windows.

Seleccionar y configurar la base de datos SQL de Microsoft

Cada comunidad de PVS tiene una única base de datos. Puede proporcionar la base de datos en uno de estos dos lugares:

  • Una instancia existente de SQL Server o SQL Server Express
  • Un nuevo servidor con SQL Server o SQL Server Express

Todos los servidores de PVS de una comunidad deben poder comunicarse con el servidor de base de datos.

En un entorno de producción, para evitar una distribución deficiente durante el equilibrio de carga, se recomienda instalar la base de datos y el software del componente del servidor de Citrix Provisioning en servidores independientes.

El asistente de configuración de PVS puede crear la base de datos. Como alternativa, si no tiene permiso para crear bases de datos, puede utilizar la utilidad DbScript.exe para crear un script SQL que un administrador de bases de datos pueda ejecutar para crear la base de datos de PVS. Esta utilidad se instala con el software de aprovisionamiento.

Ejecutar la utilidad DbScript.exe para crear o actualizar la base de datos

Si no tiene permiso para crear bases de datos, utilice DbScript.exe para generar un script SQL para que el administrador de bases de datos se ejecute con el fin de crear o actualizar la base de datos de PVS. Ejecute el script desde el símbolo del sistema de Windows en C:\Program Files\Citrix\Provisioning Services.

Para generar el script con el que crear la base de datos, utilice esta sintaxis:

DbScript.exe -new <databaseName> <farmName> <siteName> <collectionName> <farmAdminGroup> <adGroupsEnabled> <scriptName> <is2012orHigher>

Para generar el script con el que actualizar la base de datos, escriba:

DbScript.exe -upgrade <databaseName> <scriptName>

Los comandos utilizan estos argumentos:

  • <databaseName>: Nombre de la base de datos que se creará o se actualizará.
  • <farmName>: Nombre de la comunidad de la nueva base de datos.
  • <siteName>: Nombre del sitio de la nueva base de datos.
  • <collectionName>: Nombre de la colección de la nueva base de datos.
  • <farmAdminGroup>: Grupo de administradores de la comunidad, especificado como una ruta completa.

    Nota: Al ejecutar el asistente de configuración, debe pertenecer a este grupo (un grupo de Active Directory) para agregar los servidores de PVS a la base de datos.

  • <adGroupsEnabled>: Habilite o inhabilite grupos de AD, especificados como booleanos, donde true habilita grupos de AD y false los inhabilita.
  • <scriptName>: Nombre del script que se generará, especificado como una ruta completa.
  • <is2012orHigher>: La versión destinada a la nueva base de datos, especificada con un valor booleano, donde true es para 2012 o una versión posterior y false es para 2008.

Ejemplos de DbScript.exe

En este ejemplo se genera un script para crear una base de datos de Citrix Provisioning vacía llamada db1-2. El script se denomina newDb.sql y se encuentra en C:.

C:\Program Files\Citrix\Provisioning Services> DbScript.exe -new db1-2 Farm1 Site1 Collection1 "test.local/Users/Domain Users" true c:\newDb.sql true

En este ejemplo se genera un script para actualizar la versión de la base de datos de Citrix Provisioning test1. El script se denomina upgrade.sql y, dado que no se especifica ninguna ruta, se encuentra en el directorio donde se ejecutó el script (C:\Program Files\Citrix\Provisioning Services).

C:\Program Files\Citrix\Provisioning Services>DbScript.exe -upgrade test1 upgrade.sql

Estimar el tamaño de una base de datos

Para obtener información, consulte Tamaño de la base de datos.

Cuando se crea la base de datos, el tamaño inicial es de 20 MB con un tamaño de expansión de 10 MB. El tamaño inicial del registro de base de datos es 10 MB con un tamaño de expansión del 10%.

La cantidad base de espacio requerido es de 112 KB. Se trata de un valor fijo que no cambia. La imagen base incluye lo siguiente:

  • El registro DatabaseVersion requiere aproximadamente 32 KB.
  • El registro Farm requiere aproximadamente 8 KB.
  • El registro DiskCreate requiere aproximadamente 16 KB.
  • El registro Notifications requiere aproximadamente 40 KB.
  • El registro ServerMapped requiere aproximadamente 16 KB.

A continuación, se presenta la cantidad de espacio necesario, que es variable y se basa en objetos:

  • Acceso y agrupaciones (cada uno)
    • Un grupo de usuarios con acceso al sistema requiere aproximadamente 50 KB.
    • Un registro de sitio requiere aproximadamente 4 KB.
    • Una colección requiere aproximadamente 10 KB.
  • FarmView (cada uno)
    • FarmView requiere aproximadamente 4 KB.
    • Una relación FarmView/Device requiere aproximadamente 5 KB.
  • SiteView (cada uno)
    • SiteView requiere aproximadamente 4 KB.
    • Una relación SiteView/Device requiere aproximadamente 5 KB.
  • Dispositivo de destino (cada uno)
    • Un dispositivo de destino requiere aproximadamente 2 KB.
    • DeviceBootstrap requiere aproximadamente 10 KB
    • La relación Device:Disk requiere aproximadamente 35 KB
    • La relación Device:Printer requiere aproximadamente 1 KB
    • DevicePersonality requiere aproximadamente 1 KB
    • DeviceStatus cuando un dispositivo arranca requiere aproximadamente 1 KB.
    • DeviceCustomProperty requiere aproximadamente 2 KB
  • Disco (cada uno)
    • Un disco exclusivo requiere aproximadamente 1 KB.
    • DiskVersion requiere aproximadamente 3 KB
    • DiskLocator requiere aproximadamente 10 KB
    • DiskLocatorCustomProperty requiere aproximadamente 2 KB
  • Servidor de Provisioning (cada uno)
    • Un servidor requiere aproximadamente 5 KB.
    • ServerIP requiere aproximadamente 2 KB
    • ServerStatus cuando un servidor arranca requiere aproximadamente 1 KB.
    • ServerCustomProperty requiere aproximadamente 2 KB
  • Almacén (cada uno)
    • Un almacén requiere aproximadamente 8 KB.
    • Una relación Store:Server requiere aproximadamente 4 KB.
  • Actualización de disco (cada una)
    • VirtualHostingPool requiere aproximadamente 4 KB
    • UpdateTask requiere aproximadamente 10 KB
    • DiskUpdateDevice requiere aproximadamente 2 KB
    • Cada relación DiskUpdateDevice:Disk requiere aproximadamente 35 KB
    • La relación Disk:UpdateTask requiere aproximadamente 1 KB

Los siguientes cambios provocan que los requisitos de tamaño aumenten:

  • Cada tarea procesada (por ejemplo: la fusión de los controles de versiones de disco virtual) requiere aproximadamente 2 KB.
  • Si la auditoría está activada, cada cambio que realiza el administrador en la interfaz de PowerShell, MCLI o la consola de Citrix Provisioning requiere aproximadamente 1 KB.

Crear imágenes reflejo de la base de datos

Para que Citrix Provisioning pueda ofrecer la función de imagen reflejo de base de datos de MS SQL, la base de datos debe estar configurada con Modo de alta seguridad con testigo (sincrónico).

Al usar la función Database Mirroring, se requiere el cliente nativo de SQL en el servidor. Si el cliente nativo de SQL no existe, se presenta la opción de instalar SQL Native Client x64 o x86 cuando se instala SQL.

Para obtener información acerca de cómo configurar y utilizar la imagen reflejo de base de datos, consulte Crear imágenes reflejo de la base de datos.

Agrupar la base de datos en clústeres

Para implementar una agrupación en clústeres de bases de datos, siga las instrucciones de Microsoft y, a continuación, ejecute Citrix Provisioning Configuration Wizard. No es necesario realizar pasos adicionales porque el asistente considera el clúster como un único servidor SQL Server.

Configurar la autenticación

Citrix Provisioning utiliza la autenticación de Windows para acceder a la base de datos. La autenticación de Microsoft SQL Server solo es compatible con Configuration Wizard.

Permisos de usuario de Configuration Wizard

Se requieren los siguientes permisos de MS SQL para el usuario que ejecuta Configuration Wizard:

  • dbcreator para crear la base de datos
  • securityadmin para crear inicios de sesión de SQL para los servicios Stream y SOAP

Si se utiliza MS SQL Express en un entorno de prueba, puede optar por conceder privilegios de sysadmin, el nivel más alto para la base de datos, al usuario que ejecuta Configuration Wizard.

Como alternativa, si el administrador de bases de datos ha creado una base de datos vacía mediante la utilidad DbScript.exe, el usuario que ejecuta el asistente de configuración debe ser el propietario de la base de datos. Además, este usuario debe tener el permiso View any definition. El administrador de bases de datos configura este permiso cuando se crea la base de datos vacía.

Permisos de cuenta de servicio

El contexto de usuario para los servicios Stream y SOAP requiere los siguientes permisos de base de datos:

  • db\_datareader
  • db\_datawriter
  • Ejecutar permisos en procedimientos almacenados

Los roles de base de datos DataReader y DataWriter se configuran automáticamente para la cuenta de usuario de los servicios Stream y SOAP mediante Configuration Wizard. Este último asigna estos permisos siempre y cuando el usuario disponga de permisos de administrador de seguridad. Además, el usuario de servicio debe disponer de los siguientes privilegios del sistema:

  • Ejecutar como servicio
  • Acceso de lectura al Registro
  • Acceso a Archivos de programa\Citrix\Citrix Provisioning
  • Acceso de lectura y escritura a cualquier ubicación de disco virtual

Determine en cuáles de las siguientes cuentas de usuario compatibles se ejecutan los servicios Stream y SOAP:

  • Network service account

    Cuenta local con privilegios mínimos que se autentica en la red como una cuenta de máquina de dominio de los equipos

  • Specified user account (se requiere cuando se utiliza un recurso compartido de Windows Share) que puede ser una cuenta de usuario de dominio o un grupo de trabajo

Para poder admitir las licencias KMS, la cuenta de usuario del servidor SOAP debe ser miembro del grupo de administradores locales.

Sugerencia:

Como la autenticación no es habitual en los entornos de grupos de trabajo, es necesario crear cuentas de usuario con privilegios mínimos en cada servidor y cada instancia debe contener credenciales idénticas.

Debe determinar la opción de seguridad adecuada para esta comunidad de servidores. Solo es posible seleccionar una opción por comunidad y la selección realizada afecta a la administración basada en roles. Para las opciones de seguridad:

  • Use Active Directory groups for security (opción predeterminada): Seleccione esta opción si se encuentra en un dominio de Windows que ejecuta Active Directory. Esta opción permite utilizar Active Directory para los roles de administración de Citrix Provisioning.

    Nota:

    No se admiten los dominios Windows 2000.

  • Use grupos de Windows para la seguridad. Seleccione esta opción si se encuentra en un solo servidor o en un grupo de trabajo. Esta opción permite utilizar el usuario local o los grupos locales de ese servidor para los roles de administración de Citrix Provisioning.

Los usuarios de la consola no pueden acceder directamente a la base de datos.

Los permisos mínimos requeridos para la funcionalidad adicional de aprovisionamiento son:

  • Citrix Virtual Apps and Desktops Setup Wizard, Streamed VM Setup Wizard y el servicio ImageUpdate
    • Nivel de permisos mínimos para vCenter, SCVMM y Citrix Hypervisor
    • Permisos para el usuario actual en un Controller de Citrix Virtual Apps and Desktops existente
    • Una cuenta de usuario de la consola de Citrix Provisioning configurada como un administrador de Citrix Virtual Apps and Desktops y agregada a un grupo SiteAdmin o superior
    • Permiso para crear cuentas de Active Directory con el que crear cuentas en la consola. Para utilizar cuentas existentes, es necesario que ya existan cuentas de Active Directory en una OU conocida para su selección
    • Si se usa un disco Personal vDisk con Citrix Virtual Apps and Desktops, la cuenta de usuario del servidor SOAP debe tener privilegios de administrador total de Citrix Virtual Apps and Desktops.
  • Sincronización de cuentas de AD: Crear, restablecer y eliminar permisos
  • Disco virtual: Privilegios para ejecutar tareas de mantenimiento de volumen

Habilitar una conexión remota en SQL Server

Utilice la información de esta sección para establecer una conexión remota con el servidor SQL.

  1. Inicie sesión en el servidor SQL mediante SQL Management Studio.
  2. En la ventana del explorador de objetos, haga clic con el botón secundario en el servidor SQL y elija Propiedades:

    Explorador de objetos de MS SQL Server

  3. En la ventana Explotador de objetos, seleccione el nodo Conexiones. En Conexiones con el servidor remoto, marque o desmarque la casilla Permitir conexiones remotas con este servidor:

Conexiones con MS SQL Server

Después de actualizar la conexión con el servidor remoto:

  1. En el menú Inicio, haga clic en Inicio > Microsoft SQL Server versión > Administrador de configuración de SQL Server versión. Aparecerá la ventana Administrador de configuración de SQL Server.
  2. Expanda la opción Configuración de red de SQL Server. Seleccione Protocolos para (nombre del servidor). Seleccione TCP/IP y haga clic con el botón secundario. En el menú contextual, elija Habilitar. Haga clic en Aceptar para reiniciar el servicio.

TCP/IP de MS SQL Server

Después de reiniciar el servicio, cambie el modo de inicio. En la ventana Administrador de configuración de SQL Server:

  1. Seleccione Servicios de SQL Server. En el panel de la derecha, haga clic con el botón secundario en la opción Explorador de SQL Server para exponer un menú contextual.
  2. Elija Propiedades.
  3. En la ficha Servicio, cambie el modo de inicio a Automático.
  4. Haga clic en Aceptar.

Propiedades del explorador de MS SQL Server

  1. Seleccione Explorador de SQL Server y haga clic con el botón secundario para exponer un menú contextual. Haga clic en Inicio.
  2. Seleccione el nombre de la instancia de SQL Server y haga clic con el botón secundario para exponer un menú contextual. Haga clic en Reiniciar.

Crear una excepción para SQL Server en el Firewall de Windows

Utilice la información de esta sección con el objetivo de crear una excepción para SQL Server en entornos que usen el Firewall de Windows:

  1. Abra el Panel de control y seleccione Sistema y seguridad.
  2. Seleccione Firewall de Windows Defender:

    Firewall de Windows Defender de MS SQL Server

  3. Haga clic en Permitir una aplicación o una característica a través de Firewall de Windows. Active el Firewall de Windows:

    MS SQL Server habilita el Firewall de Windows Defender

  4. En la ventana Permitir a las aplicaciones comunicarse a través de Firewall de Windows, haga clic en Permitir otra aplicación…:

    MS SQL Server permite aplicaciones de firewall

  5. En la pantalla Agregar una aplicación, haga clic en Examinar.
  6. Busque SQL Service sqlserver.exe y haga clic en Abrir. La ruta predeterminada a sqlserver.exe es:

    • SQL 2019: C:\Program Files\Microsoft SQL Server\MSSQL15.<SQL Instance Name>\MSSQL\Binn
    • SQL 2017: C:\Program Files\Microsoft SQL Server\MSSQL14.<SQL Instance Name>\MSSQL\Binn
  7. Haga clic en Agregar.

MS SQL Server permite aplicaciones de firewall

  1. Repita los pasos del 4 al 7 para C:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.
  2. Haga clic en Aceptar.

Seguridad de Kerberos

De forma predeterminada, la consola de Citrix Provisioning, Imaging Wizard, el complemento de PowerShell y MCLI utilizan la autenticación Kerberos al comunicarse con el servicio SOAP en un entorno de Active Directory. Una parte de la arquitectura de Kerberos se utiliza para el registro de servicios (se crea un nombre principal de servicio, SPN) con el controlador de dominio (Centro de distribución de claves Kerberos). El registro es fundamental, ya que permite a Active Directory identificar la cuenta que ejecuta el servicio SOAP. Si no se realiza el registro, se producirá un error en la autenticación Kerberos y Citrix Provisioning volverá a utilizar la autenticación NTLM.

El servicio SOAP de Citrix Provisioning se registra cada vez que se inicia el servicio y cancela el registro cuando se detiene el servicio. Sin embargo, el registro falla si la cuenta de usuario del servicio no tiene el permiso necesario. De forma predeterminada, la cuenta de servicio de red y los administradores de dominio disponen de un permiso, mientras que las cuentas de usuario de dominio normales no.

Para solucionar este problema de permisos, realice una de las siguientes acciones:

  • Utilice una cuenta diferente que contenga permisos para crear SPN.

  • Asigne permisos a la cuenta de servicio.

||| |Tipo de cuenta|Permiso| |—|—| |Cuenta de equipo|Escribir SPN validado| |Cuenta de usuario|Escribir información pública|

Tareas anteriores a la instalación