Product Documentation

Supervisión de entornos con Director

Nov 11, 2015

Director se instala de forma predeterminada como un sitio Web en el Delivery Controller. Para obtener los requisitos previos y otros detalles, consulte los Requisitos del sistema para esta versión.

Esta versión de Director no es compatible ni con las implementaciones de XenApp anteriores a 7.5 ni con las implementaciones de XenDesktop anteriores a la versión 7.

Cuando Director se usa en un entorno que contiene más de un sitio, asegúrese de sincronizar los relojes del sistema en todos los servidores donde estén instalados los Controllers, Director y otros componentes principales. De lo contrario, los sitios podrían no mostrarse correctamente en Director.

Sugerencia: Si va a supervisar sitios de XenApp 6.5 además de sitios de XenApp 7.5 o XenDesktop 7.x, Citrix recomienda instalar Director en un servidor independiente de la consola de Director que se usa para supervisar los sitios de XenApp 6.5. 
Importante: Para proteger la seguridad de los nombres de usuario y las contraseñas enviados con texto sin formato a través de la red, Citrix recomienda permitir las conexiones de Director solo con HTTPS y no con HTTP. Algunas herramientas pueden leer nombres y contraseñas de texto sin formato en paquetes de red HTTP (sin cifrar), lo que crea un riesgo de seguridad para los usuarios.

Para configurar permisos

Para iniciar sesión en Director, los administradores con permisos para Director deben ser usuarios del dominio de Active Directory y deben contar con los siguientes derechos:

  • Derechos de lectura en todos los bosques de AD en los que se realizarán búsquedas (consulte Configuración avanzada).
  • Roles de administrador delegado configurados (consulte Administración delegada y Director).
  • Para remedar usuarios, los administradores deben configurarse mediante una directiva de grupo de Microsoft para la Asistencia remota de Windows. Además:
    • Durante la instalación de VDA, asegúrese de que la función de Asistencia remota de Windows está habilitada en todos los dispositivos de usuario (seleccionada de forma predeterminada).
    • Al instalar Director en un servidor, asegúrese de que la Asistencia remota de Windows está instalada (seleccionada de forma predeterminada). Sin embargo, en el servidor está inhabilitada de forma predeterminada. La función no necesita estar habilitada para que Director proporcione asistencia a los usuarios finales. Citrix recomienda dejar la función inhabilitada para mejorar la seguridad en el servidor.
    • Para permitir que otros usuarios inicien la Asistencia remota de Windows, debe concederles los permisos requeridos mediante el uso de las configuraciones de directiva de grupo de Microsoft adecuadas para la Asistencia remota. Para obtener más información, consulte CTX127388: How to Enable Remote Assistance for Desktop Director.
  • Para los dispositivos de usuario con VDA anteriores a 7, se requiere una configuración adicional. Consulte Configuración de permisos para VDA anteriores a 7.

Para instalar Director

Instale Director mediante el instalador, que verifica los requisitos previos, instala los componentes que falten, configura el sitio Web de Director y realiza la configuración básica. La configuración predeterminada que ofrece el programa de instalación administra implementaciones típicas. Si Director no se incluyó durante la instalación, use el programa de instalación para agregarlo. Para agregar componentes adicionales, vuelva a ejecutar el instalador y seleccione los componentes que desea instalar. Para obtener información acerca del uso del programa de instalación, consulte los temas de instalación. Citrix recomienda la instalación mediante el instalador del producto, no el archivo MSI.

Cuando Director se instala en el Controller, se configura automáticamente con localhost como la dirección del servidor, y Director se comunica con el Controller local de forma predeterminada.

Para instalar Director en un servidor dedicado que es remoto desde un Controller, se le solicitará que introduzca el FQDN o la dirección IP de un Controller. Director se comunica con el Controller especificado de forma predeterminada. Especifique solo una dirección de un Controller para cada sitio que desea supervisar. Director detecta automáticamente todos los demás Controllers en el mismo sitio y opta por utilizar los demás Controllers si en el Controller especificado se produce un error.

Nota: Director no equilibra la carga entre los Controllers.

Para proteger la comunicación entre el explorador y el servidor Web, Citrix recomienda implementar SSL en el sitio Web de IIS que aloja Director. Consulte la documentación de Microsoft IIS para obtener instrucciones. No se requiere ninguna configuración de Director para habilitar SSL.

Para iniciar sesión en Director

El sitio Web de Director está ubicado en: https o http:///Director.

Si uno de los sitios en la implementación de varios sitios está inactivo, el inicio de sesión de Director tarda un poco más porque intenta conectarse con el sitio que está inactivo.

Administración delegada y Director

La administración delegada utiliza tres conceptos: los administradores, los roles y los ámbitos. Los permisos se basan en un rol de administrador y en el ámbito de este rol. Por ejemplo, a un administrador se le puede asignar un rol de administrador de asistencia técnica en el que el ámbito implica la responsabilidad de usuarios finales en un único sitio.

Para obtener información sobre cómo crear administradores delegados, consulte el tema principal de Administración delegada.

Los permisos administrativos determinan la interfaz de Director que ven los administradores y las tareas que estos pueden realizar. Los permisos determinan:
  • Las vistas a las que los administradores pueden acceder, denominadas conjuntamente como una vista.
  • Los escritorios, las máquinas y las sesiones que el administrador puede ver y con las que puede interactuar.
  • Los comandos que el administrador puede ejecutar, como el remedo de la sesión de un usuario o habilitar el modo de mantenimiento.

Los roles y permisos integrados también determinan cómo los administradores usan Director:

Rol de administrador Los permisos en Director
Administrador total Cuenta con acceso completo a todas las vistas y puede ejecutar todos los comandos, incluidos remedar la sesión de un usuario, habilitar el modo de mantenimiento y exportar los datos de tendencias.
Administrador del grupo de entrega Cuenta con acceso completo a todas las vistas y puede ejecutar todos los comandos, incluidos remedar la sesión de un usuario, habilitar el modo de mantenimiento y exportar los datos de tendencias.
Administrador de solo lectura Puede acceder a todas las vistas y ver todos los objetos en los ámbitos especificados, así como información global. Puede descargar informes de canales HDX y puede exportar datos de tendencias mediante la opción de exportación en la vista Tendencias.

No puede ejecutar ningún otro comando ni cambiar nada en las vistas.

Administrador de asistencia técnica Puede acceder únicamente a las vistas del Servicio de asistencia y de los Detalles del usuario y solo puede ver los objetos que le han sido delegados para que los administre. Puede remedar la sesión de un usuario y ejecutar comandos para ese usuario. Puede realizar operaciones en modo de mantenimiento. Puede utilizar las opciones de control de energía para las máquinas con sistema operativo de escritorio.

No puede acceder a las vistas de Panel de mandos, Tendencias o Filtros. No puede utilizar las opciones de control de energía para las máquinas con sistema operativo de servidor.

Administrador de catálogo de máquinas Sin acceso. Este administrador no es compatible en Director y no puede ver datos.
Administrador de host Sin acceso. Este administrador no es compatible en Director y no puede ver datos.
Nota: Puede modificar las vistas de Director si quita o habilita botones a través de roles y permisos de administrador delegado. Por ejemplo, si su organización no quiere que un determinado grupo de administradores de Director realice acciones de remedo a los usuarios, seleccione o personalice un rol que no permita el remedo o el permiso personalizado "Iniciar Asistencia remota en una máquina" y el botón Remedar no aparecerá en la interfaz de usuario.

Para configurar roles personalizados de administradores de Director

En Studio, también puede configurar roles personalizados específicos para Director y coincidir mejor con los requisitos de su organización y delegar permisos con mayor flexibilidad. Por ejemplo, puede restringir el rol de administrador de asistencia técnico integrado para que el administrador no pueda cerrar sesiones.

Si crea un rol personalizada con permisos de Director, también debe dar a ese rol otros permisos genéricos:
  • Permiso para que Delivery Controller inicie sesión en Director.
  • Permisos para los grupos de entrega vean los datos relacionados con estos grupos de entrega de Director.

También puede crear un rol personalizado mediante la copia de un rol existente e incluir permisos adicionales para vistas diferentes. Por ejemplo, puede copiar el rol del servicio de asistencia e incluir permisos para ver el Panel de mandos o la vista Filtros.

Seleccione los permisos de Director para el rol personalizado, incluidos:

  • Terminar aplicación ejecutada en una máquina
  • Terminar proceso ejecutado en una máquina
  • Asistencia remota en una máquina
  • Restablecer disco virtual
  • Restablecer perfiles de usuario
  • Ver página Panel de mandos
  • Ver página de Asistencia técnica
  • Ver el estado de la conexión de los hosts y las alertas
  • Ver página de Disección de datos (vista Filtros)
  • Ver Tendencias
  • Ver página Detalles del usuario

Además, en la lista de permisos para otros componentes, tenga en cuenta estos permisos:

  • En Profile Management: Leer definiciones de perfil
  • En grupos de entrega:
    • Habilitar/inhabilitar el modo de mantenimiento de una máquina a través de su pertenencia a un grupo de entrega
    • Realizar operaciones de energía en máquinas de escritorio Windows por su pertenencia a grupos de entrega
    • Administrar sesiones en máquinas por su pertenencia a un grupo de entrega
    • Ver grupos de entrega

Configuración de HDX Insight

Nota: La disponibilidad de esta función depende de la licencia de la empresa y los permisos de administrador.

HDX Insight es la integración de EdgeSight Network Analysis y EdgeSight Performance Management en Director:

  • EdgeSight Network Analysis utiliza HDX Insight para proporcionar una visión en contexto de los escritorios y aplicaciones de la red. Con esta función, Director ofrece análisis avanzados del tráfico ICA en la implementación.
  • EdgeSight Performance Management proporciona la retención del historial y los informes de tendencias. Con la retención del historial de datos frente a la evaluación en tiempo real, puede crear informes de tendencias que incluyen las tendencias de capacidad y estado.

Después de habilitar esta función en Director, HDX Insight le proporciona información adicional:

  • La página Tendencias muestra los efectos de la latencia y el ancho de banda de las aplicaciones, escritorios y usuarios de toda la implementación.
  • La página Detalles del usuario muestra la información de latencia y ancho de banda específica de la sesión de un usuario en particular.

Limitaciones

  • El tiempo de retorno de sesión ICA (RTT) muestra datos correctamente para Receiver para Windows 3.4 o posterior y Receiver para Mac 11.8 o posterior. Para las versiones anteriores de estos paquetes de Receiver, los datos no se muestran correctamente.
  • En la vista Tendencias, los datos de inicio de sesión de conexiones HDX no se recopilan para los VDA anteriores a 7. Para los VDA anteriores, los datos gráficos se muestran como 0.

Para configurar la función EdgeSight Network Analysis en Director

EdgeSight ofrece análisis de red al aprovechar que NetScaler HDX Insight proporciona a los administradores Citrix de aplicaciones y escritorios la capacidad para solucionar problemas y correlacionar los problemas que puedan atribuirse al bajo rendimiento de la red.

NetScaler Insight Center debe estar instalado y configurado en Director para habilitar EdgeSight Network Analysis. Insight Center es una máquina virtual (dispositivo) descargado de Citrix.com. Con el análisis de red de EdgeSight, Director se comunica y recopila la información que está relacionada con la implementación. Esta información se aprovecha de HDX Insight, que proporciona un análisis robusto del protocolo ICA de Citrix entre el cliente y la infraestructura back-end de Citrix.
  1. En el servidor donde está instalado Director, localice la herramienta de línea de comandos DirectorConfig en C:\inetpub\wwwroot\Director\tools y ejecútela con el parámetro /confignetscaler en el cuadro de línea de comandos.
  2. Cuando se le solicite, configure el nombre de la máquina (FQDN o la dirección IP), el nombre de usuario, la contraseña y el tipo de conexión HTTP o HTTPS de NetScaler Insight Center.
  3. Para comprobar los cambios, cierre la sesión y vuelva a iniciarla.

Configuración de permisos para VDA anteriores a XenDesktop 7

Si los usuarios tienen VDA anteriores a XenDesktop 7 instalados en sus dispositivos, Director complementa la información de la implementación con estados y mediciones en tiempo real a través de la Administración remota de Windows (WinRM).

Además, use este procedimiento para configurar WinRM para su uso con Remote PC en XenDesktop 5.6 Feature Pack 1.

De forma predeterminada, solo los administradores locales de la máquina de escritorio (por lo general, los administradores de dominio y otros usuarios con privilegios) tienen los permisos necesarios para ver los datos en tiempo real.

Para obtener más información acerca de la instalación y la configuración de WinRM, consulte CTX125243.

Para permitir que otros usuarios vean los datos en tiempo real, debe concederles permisos. Por ejemplo, supongamos que hay varios usuarios de Director (HelpDeskUserA, HelpDeskUserB, etc.) que son miembros de un grupo de seguridad de Active Directory denominado HelpDeskUsers. Al grupo se le ha asignado el rol de administrador del servicio de asistencia de Studio, por lo que los miembros obtienen los permisos necesarios de Delivery Controller. Sin embargo, el grupo necesita además obtener acceso a la información desde la máquina de escritorio.

Para otorgar el acceso necesario, puede configurar los permisos requeridos mediante uno de los siguientes métodos:
  • Concesión de permisos a los usuarios de Director (modelo de suplantación)
  • Concesión de permisos al servicio de Director (modelo de subsistema de confianza)

Concesión de permisos a los usuarios de Director (modelo de suplantación)

De forma predeterminada, Director utiliza un modelo de suplantación: la conexión de WinRM con la máquina de escritorio se realiza mediante la identidad del usuario de Director. De este modo, el usuario debe tener los permisos correspondientes en el escritorio.

Puede configurar estos permisos en uno de los dos modos (descritos más adelante en este tema):

  1. Agregar usuarios al grupo de administradores local en la máquina de escritorio.
  2. Conceder a los usuarios los permisos específicos requeridos por Director. Esta opción impide conceder permisos administrativos completos en la máquina a los usuarios de Director (por ejemplo, el grupo HelpDeskUsers).

Concesión de permisos al servicio de Director (modelo de subsistema de confianza)

En lugar de proporcionar a los usuarios de Director permisos en las máquinas de escritorio, puede configurar Director para que realice las conexiones de WinRM mediante una identidad de servicio y que conceda los permisos adecuados solo a esa identidad de servicio.

Con este modelo, los usuarios de Director no tienen permisos para realizar llamadas de WinRM por sí mismos. Solo pueden obtener acceso a los datos mediante Director.

El grupo de aplicaciones Director en IIS está configurado para que se ejecute como la identidad de servicio. De forma predeterminada, esta es la cuenta virtual APPPOOL\Director. Cuando establece conexiones remotas, esta cuenta aparece como la cuenta del equipo de Active Directory del servidor, por ejemplo, MyDomain\DirectorServer$. Debe configurar esta cuenta con los permisos adecuados.

Si se implementan varios sitios Web de Director, debe colocar cada cuenta de equipo del servidor Web en un grupo de seguridad de Active Directory configurado con los permisos adecuados.

Para configurar Director de modo que utilice la identidad de servicio para WinRM en lugar de la identidad del usuario, configure el siguiente parámetro como se describe en Configuración avanzada:

Service.Connector.WinRM.Identity = Service

Puede configurar estos permisos de una de las siguientes maneras:

  1. Agregar la cuenta del servicio al grupo de administradores local en la máquina de escritorio.
  2. Conceda a la cuenta de servicio los permisos específicos requeridos por Director (descritos a continuación). Esta opción impide conceder permisos administrativos completos a la cuenta de servicio en la máquina.

Para asignar permisos a un usuario o grupo específico

Los siguientes permisos son obligatorios para que Director acceda a la información que requiere desde la máquina de escritorio a través de WinRM:

  • Permisos de lectura y ejecución en RootSDDL de WinRM
  • Permisos de espacio de nombres WMI:
    • root/cimv2: acceso remoto
    • root/citrix: acceso remoto
    • root/RSOP: acceso remoto y ejecución
  • Pertenencia a estos grupos locales:
    • Usuarios de Performance Monitor
    • Lectores de registros de sucesos

La herramienta ConfigRemoteMgmt.exe se utiliza para conceder automáticamente estos permisos. En los medios de instalación, se encuentra en las carpetas x86\Virtual Desktop Agent y x64\Virtual Desktop Agent, así como en la carpeta de herramientas de los medios de instalación. Debe conceder permisos a todos los usuarios de Director.

Para conceder permisos a un grupo de seguridad, usuario o cuenta de equipo de Active Directory, ejecute la herramienta con privilegios administrativos desde un símbolo del sistema con los siguientes argumentos:

ConfigRemoteMgmt.exe /configwinrmuser domain\name

donde name es un grupo de seguridad, usuario o cuenta de equipo.

Por ejemplo, para conceder los permisos necesarios a un grupo de seguridad de usuarios:

ConfigRemoteMgmt.exe /configwinrmuser MyDomain\HelpDeskUsers

O bien, para conceder los permisos a una cuenta de equipo específica:

ConfigRemoteMgmt.exe /configwinrmuser MyDomain\DirectorServer$

Configuración avanzada

Algunos parámetros de configuración avanzada de Director, como la compatibilidad con varios sitios o varios bosques de Active Directory, se controla mediante los parámetros del Administrador de Internet Information Services (IIS).
Importante: Cuando cambie un parámetro en IIS, el servicio de Director se reiniciará automáticamente y cerrará las sesiones de los usuarios.

Para configurar parámetros avanzados mediante IIS:

  1. Abra la consola del Administrador de Internet Information Services (IIS).
  2. Vaya al sitio Web de Director en el sitio Web predeterminado.
  3. Haga doble clic en Configuración de aplicaciones.
  4. Haga doble clic en un parámetro para editarlo.

Para admitir usuarios en varios dominios y bosques de Active Directory

Director utiliza Active Directory para buscar usuarios y para consultar información adicional sobre usuarios y máquinas. De forma predeterminada, Director busca el dominio o el bosque en el que:
  • La cuenta del administrador es miembro.
  • El servidor Web de Director es miembro (en caso de que sea diferente).

Director intenta realizar búsquedas en el nivel del bosque mediante el catálogo global de Active Directory. Si el administrador no tiene permisos para realizar búsquedas en los bosques, la búsqueda se realiza en el dominio solamente.

Para buscar datos en otros dominios o bosques de Active Directory, debe establecer explícitamente los dominios o bosques en los que desea realizar las búsquedas. Configure el siguiente parámetro:
Connector.ActiveDirectory.Domains = (user),(server)

Los atributos de valor user y server representan los dominios del usuario de Director (el administrador) y el servidor de Director respectivamente.

Para habilitar búsquedas desde un dominio o bosque adicionales, agregue el nombre del dominio a la lista, tal y como se muestra en el ejemplo:

Connector.ActiveDirectory.Domains = (user),(server),ENDUSERDOMAIN

Para cada dominio de la lista, Director intenta realizar búsquedas en el nivel del bosque. Si el administrador no tiene permisos para realizar búsquedas en los bosques, la búsqueda se realiza en el dominio solamente.

Para agregar sitios en Director

Si Director ya está instalado, configúrelo para que funcione con varios sitios. Para ello, utilice la consola del Administrador de IIS en cada servidor de Director para actualizar la lista de direcciones de servidor en la configuración de la aplicación.

Agregue la dirección de un Controller desde cada sitio al siguiente parámetro:
Service.AutoDiscoveryAddresses = SiteAController,SiteBController

donde SiteAController y SiteBController son las direcciones de los Delivery Controllers de dos sitios diferentes.

Para inhabilitar la visibilidad de las aplicaciones en ejecución en el Administrador de actividades

De forma predeterminada, el Administrador de actividades de Director muestra una lista de todas las aplicaciones en ejecución y la descripción de las ventanas en las barras de título de todas las aplicaciones abiertas de la sesión del usuario. Esta información pueden verla todos los administradores que tengan acceso a la función del Administrador de actividades de Director. Para los roles de administrador delegado, esto incluye los roles de administrador total, administrador de grupo de entrega y administrador de asistencia técnica.

Para proteger la privacidad de los usuarios y las aplicaciones que se están ejecutando, puede inhabilitar la ficha Aplicaciones para que no muestre las aplicaciones en ejecución.

Advertencia: Si modifica el Registro de forma incorrecta, podrían generarse problemas graves que pueden provocar la reinstalación del sistema operativo. Citrix no puede garantizar que los problemas derivados de la utilización inadecuada del Editor del registro puedan resolverse. Si utiliza el Editor del Registro, será bajo su propia responsabilidad. Asegúrese de hacer una copia de seguridad del registro antes de modificarlo.
  1. En el VDA, modifique la clave de Registro ubicada en HKLM\Software\Citrix\Director\TaskManagerDataDisplayed. De forma predeterminada, el valor de la clave es 1. Cambie el valor a 0 para que la información no se muestre en el Administrador de actividades.
  2. En el servidor que tiene Director instalado, modifique el parámetro que controla la visibilidad de las aplicaciones en ejecución. De forma predeterminada, el valor es true, lo que permite la visibilidad de las aplicaciones en ejecución en la ficha Aplicaciones. Cambie el valor a false, lo que inhabilita la visibilidad. Esta opción solo afecta al Administrador de actividades de Director, no al VDA.
    Modifique el valor del siguiente parámetro:
    UI.TaskManager.EnableApplications = false
Importante: Para inhabilitar la vista de las aplicaciones en ejecución, Citrix recomienda realizar ambos cambios para asegurarse de que los datos no se muestran en el Administrador de actividades.