Tareas anteriores a la instalación
Debe completar los procedimientos siguientes antes de instalar y configurar Provisioning Services.
Seleccionar y configurar la base de datos SQL de Microsoft
Solamente es posible asociar una base de datos a una comunidad. Se puede instalar el software de la base de datos de Provisioning Services en:
- Una base de datos de SQL existente, si la máquina puede comunicarse con todos los servidores de Provisioning en la comunidad
- Una máquina nueva con la base de datos de SQL Express, creada mediante SQL Express, que Microsoft ofrece de forma gratuita.
En un entorno de producción, se recomienda instalar la base de datos y el software del servidor de Provisioning en servidores independientes, para evitar una distribución deficiente durante el equilibrio de carga.
El administrador de base de datos, si lo prefiere, puede crear la base de datos de Provisioning Services. En este caso, suministre el archivo creado mediante la utilidad DbScript.exe al administrador de bases de datos de MS SQL. Esta utilidad se instala con el software de Provisioning Services.
Estimar el tamaño de una base de datos
Para obtener información sobre el tamaño de las bases de datos, consulte Estimar el tamaño de una base de datos.
Cuando se crea la base de datos, el tamaño inicial es de 20 MB con un tamaño de expansión de 10 MB. El tamaño inicial del registro de base de datos es 10 MB con un tamaño de expansión del 10%.
La cantidad base de espacio requerido es de 112 KB. Se trata de un valor fijo que no cambia. En ese espacio:
- El registro Database Version requiere aproximadamente 32 KB.
- El registro Farm requiere aproximadamente 8 KB.
- El registro Disk Create requiere aproximadamente 16 KB.
- El registro Notifications requiere aproximadamente 40 KB.
- El registro Server Mapped requiere aproximadamente 16 KB.
A continuación, se presenta la cantidad de espacio necesario, que es variable y se basa en objetos:
- Acceso y agrupaciones (cada uno)
- Un grupo de usuarios con acceso al sistema requiere aproximadamente 50 KB.
- Un registro de sitio requiere aproximadamente 4 KB.
- Una colección requiere aproximadamente 10 KB.
- Farm View (cada una)
- Farm View requiere aproximadamente 4 KB.
- Una relación FarmView/Device requiere aproximadamente 5 KB.
- Site View (cada una)
- Site View requiere aproximadamente 4 KB.
- Una relación SiteView/Device requiere aproximadamente 5 KB.
- Dispositivo de destino (cada uno)
- Un dispositivo de destino requiere aproximadamente 2 KB.
- Device Bootstrap requiere aproximadamente 10 KB.
- Una relación Device: Disk requiere aproximadamente 35 KB.
- Una relación Device: Printer requiere aproximadamente 1 KB.
- Device Personality requiere aproximadamente 1 KB.
- Device Status cuando un dispositivo arranca requiere aproximadamente 1 KB.
- DeviceCustomProperty requiere aproximadamente 2 KB.
- Disco (cada uno)
- Un disco exclusivo requiere aproximadamente 1 KB.
- DiskVersion requiere aproximadamente 3 KB.
- Disk Locator requiere aproximadamente 10 KB.
- DiskLocatorCustomProperty requiere aproximadamente 2 KB.
- Servidor de Provisioning (cada uno)
- Un servidor requiere aproximadamente 5 KB.
- ServerIP requiere aproximadamente 2 KB.
- Server Status cuando un servidor arranca requiere aproximadamente 1 KB.
- ServerCustomProperty requiere aproximadamente 2 KB.
- Almacén (cada uno)
- Un almacén requiere aproximadamente 8 KB.
- Una relación Store:Server requiere aproximadamente 4 KB.
- Actualización de disco (cada una)
- VirtualHostingPool requiere aproximadamente 4 KB.
- UpdateTask requiere aproximadamente 10 KB.
- DiskUpdateDevice requiere aproximadamente 2 KB.
- Cada relación DiskUpdateDevice:Disk requiere aproximadamente 35 KB.
- Una relación Disk:UpdateTask requiere aproximadamente 1 KB.
Los siguientes cambios provocan que los requisitos de tamaño aumenten:
- Cada tarea procesada (por ejemplo: la fusión de los controles de versiones de vDisk) requiere aproximadamente 2 KB.
- Si la auditoría se encuentra habilitada, cada cambio que realiza el administrador en la interfaz de PowerShell, MCLI o la consola requiere aproximadamente 1 KB.
Crear imágenes reflejo de la base de datos
Para que Provisioning Services pueda admitir la función de imagen reflejo de base de datos de MS SQL, la base de datos debe estar configurada con Modo de alta seguridad con testigo (sincrónico).
Si va a usar la función Database Mirroring, se requiere el cliente nativo de SQL en el servidor. Si esto no existe, se presenta la opción de instalar SQL Native Client x64 o x86 cuando se instala SQL.
Para obtener información acerca de cómo configurar y utilizar la imagen reflejo de base de datos, consulte Crear imágenes reflejo de la base de datos.
Agrupar la base de datos en clústeres
Para implementar una agrupación en clústeres de bases de datos, siga las instrucciones de Microsoft y, a continuación, ejecute Provisioning Services Configuration Wizard. No es necesario realizar pasos adicionales porque el asistente considera el clúster como un único servidor SQL Server.
Configurar la autenticación
Provisioning Services utiliza la autenticación de Windows para acceder a la base de datos. La autenticación de Microsoft SQL Server solo es compatible con Configuration Wizard.
-
Permisos de usuario de Configuration Wizard
Se requieren los siguientes permisos de MS SQL para el usuario que ejecuta Configuration Wizard:
- dbcreator para crear la base de datos
- security admin para crear inicios de sesión de SQL para los servicios Stream y SOAP
Si se utiliza MS SQL Express en un entorno de prueba, puede optar por conceder privilegios sysadmin (el nivel de privilegio más alto en la base de datos) al usuario que ejecuta Configuration Wizard.
Como alternativa, si el administrador de bases de datos suministra una base de datos vacía, el usuario que ejecuta Configuration Wizard debe ser el propietario de la base de datos y disponer del permiso Ver cualquier definición (el administrador de base de datos configura estos parámetros cuando se crea la base de datos vacía).
Permisos de cuenta de servicio
El contexto de usuario para los servicios Stream y SOAP requiere los siguientes permisos de base de datos:
- db_datareader
- db_datawriter
- Ejecute permisos en los procedimientos almacenados
Los roles de base de datos DataReader y DataWriter se configuran automáticamente para la cuenta de usuario de los servicios Stream y SOAP mediante Configuration Wizard. Este último asigna estos permisos siempre y cuando el usuario disponga de permisos de administrador de seguridad. Además, el usuario de servicio debe disponer de los siguientes privilegios del sistema:
- Ejecutar como servicio
- Acceso de lectura al Registro
- Acceso a Archivos de programa\Citrix\Provisioning Services
- Acceso de lectura y escritura a cualquier ubicación de disco virtual
Determine en cuáles de las siguientes cuentas de usuario compatibles se ejecutan los servicios Stream y SOAP:
-
Network service account
Cuenta local con privilegios mínimos que se autentica en la red como una cuenta de máquina de dominio de los equipos
-
Specified user account (se requiere cuando se utiliza un recurso compartido de Windows Share) que puede ser una cuenta de usuario de dominio o un grupo de trabajo
La compatibilidad de Provisioning Services con licencias del servicio KMS requiere que la cuenta de usuario del servidor SOAP sea miembro del grupo de administradores locales.
Como la autenticación no es habitual en los entornos de grupos de trabajo, es, necesario crear cuentas de usuario con privilegios mínimos en cada servidor y cada instancia debe contener credenciales idénticas.
Determine la opción de seguridad adecuada para utilizar en esta comunidad (solo es posible seleccionar una opción por comunidad y la selección realizada afecta a la administración basada en roles):
- Use Active Directory groups for security (opción predeterminada): Seleccione esta opción si se encuentra en un dominio de Windows que ejecuta Active Directory. Esta opción permite utilizar Active Directory para los roles de administración de Provisioning Services. Nota: No se admiten los dominios Windows 2000.
- Use grupos de Windows para la seguridad. Seleccione esta opción si se encuentra en un solo servidor o en un grupo de trabajo. Esta opción permite utilizar el usuario local o los grupos de ese servidor en particular para los roles de administración de Provisioning Services.
Los usuarios de la consola no pueden acceder directamente a la base de datos.
Los permisos mínimos requeridos para la funcionalidad adicional de Provisioning Services son:
- Provisioning Services XenDesktop Setup Wizard, Streamed VM Setup Wizard y ImageUpdate Service
- Nivel de permisos mínimos para vCenter, SCVMM y XenServer
- Permisos para el usuario actual en un Controller existente de XenDesktop
- Una cuenta de usuario de Provisioning Services Console configurada como un administrador de XenDesktop y agregada a un grupo de administradores de sitio de PVS o superior
- Permiso para crear cuentas de Active Directory con el que crear cuentas en la consola. Para utilizar cuentas existentes, es necesario que ya existan cuentas de Active Directory en una OU conocida para su selección
- Si se usan discos Personal vDisk con XenDesktop, la cuenta de usuario del servidor SOAP debe tener privilegios de administrador total de XenDesktop.
- Sincronización de cuentas de AD: crear, restablecer y eliminar permisos
- vDisk: Privilegios para ejecutar tareas de mantenimiento de volumen
Seguridad de Kerberos
De forma predeterminada, Provisioning Services Console, Imaging Wizard, el complemento PowerShell y MCLI utilizan la autenticación Kerberos al comunicarse con el SOAP Service de Provisioning Services en un entorno de Active Directory. Una parte de la arquitectura de Kerberos se utiliza para el registro de servicios (se crea un nombre principal de servicio, SPN) con el controlador de dominio (Centro de distribución de claves Kerberos). El registro es fundamental ya que permite a Active Directory identificar la cuenta que ejecuta el servicio SOAP de Provisioning Services. Si no se realiza el registro, se producirá un error en la autenticación Kerberos y Provisioning Services volverá a utilizar la autenticación NTLM.
El servicio SOAP de Provisioning Services se registra cada vez que se inicia el servicio y cancela el registro cuando se detiene el servicio. Sin embargo, el registro falla si la cuenta de usuario del servicio no tiene el permiso necesario. De forma predeterminada, la cuenta de servicio de red y los administradores de dominio disponen de un permiso, mientras que las cuentas de usuario de dominio normales no.
Para solucionar este problema de permisos, realice una de las siguientes acciones:
- Utilice una cuenta diferente que contenga permisos para crear SPN.
- Asigne permisos a la cuenta de servicio. | | | | —————- | ———————— | | Tipo de cuenta | Permiso | | Cuenta de equipo | Escribir SPN validado | | Cuenta de usuario | Escribir información pública |