Citrix Provisioning

Tâches de pré-installation

Effectuez les tâches suivantes avant l’installation et la configuration de Citrix Provisioning.

Important :

Assurez-vous que toutes les mises à jour Windows sont à jour avant d’installer les composants Citrix Provisioning. Citrix vous recommande de redémarrer après l’installation de toutes les mises à jour Windows.

Sélection et configuration de la base de données Microsoft SQL

Une seule base de données est associée à une batterie. Vous pouvez installer le logiciel de base de données Citrix Provisioning sur :

  • Une base de données SQL existante, si cette machine peut communiquer avec tous les serveurs Provisioning de la batterie.
  • Une nouvelle machine de base de données SQL Express, créée à l’aide de SQL Express, un logiciel gratuit de Microsoft.

Dans un environnement de production, il est recommandé d’installer la base de données et le logiciel du serveur Provisioning sur des serveurs distincts afin d’éviter une répartition déséquilibrée durant l’équilibrage de charge.

L’administrateur de base de données peut créer une base de données Citrix Provisioning vide. Dans ce cas, fournissez à l’administrateur de base de données MS SQL le nouveau fichier créé à l’aide de l’outil DbScript.exe. Cet outil est installé avec le logiciel Provisioning.

Conseil :

Consultez Procédure de création manuelle d’une base de données pour Provisioning Services pour de plus amples informations.

Dimensionnement de la base de données

Pour plus d’informations sur le dimensionnement de la base de données, consultez Estimer la taille d’une base de données.

Lorsque la base de données est créée, sa taille initiale est de 20 Mo avec une taille de croissance de 10 Mo. La taille initiale du journal de base de données est de 10 Mo avec une taille de croissance de 10 %.

La quantité d’espace minimum requis est de 112 Ko, ce qui ne change pas. L’image de base comprend les éléments suivants :

  • L’enregistrement DatabaseVersion requiert approximativement 32 Ko.
  • L’enregistrement Farm requiert approximativement 8 Ko.
  • L’enregistrement DiskCreate requiert approximativement 16 Ko.
  • Les notifications requièrent approximativement 40 Ko.
  • L’enregistrement ServerMapped requiert approximativement 16 Ko.

La quantité d’espace variable requis, basée sur des objets, est la suivante :

  • Accès et regroupements (chaque)
    • Un groupe d’utilisateur qui a accès au système requiert approximativement 50 Ko.
    • Un enregistrement Site requiert approximativement 4 Ko.
    • Une collection requiert approximativement 10 Ko.
  • FarmView (chaque)
    • FarmView requiert approximativement 4 Ko.
    • Une relation FarmView/Device requiert approximativement 5 Ko.
  • SiteView (chaque)
    • SiteView requiert approximativement 4 Ko.
    • Une relation SiteView/Device requiert approximativement 5 Ko.
  • Machine cible (chaque)
    • Une machine cible requiert approximativement 2 Ko
    • DeviceBootstrap requiert approximativement 10 Ko.
    • La relation Device:Disk requiert approximativement 35 Ko.
    • DevicePersonality requiert approximativement 1 Ko.
    • DeviceStatus requiert approximativement 1 KB lorsqu’une machine est démarrée.
    • DeviceCustomProperty requiert approximativement 2 Ko.
  • Disque (chaque)
    • Un disque unique requiert approximativement 1 Ko.
    • DiskVersion requiert approximativement 3 Ko.
    • DiskLocator requiert approximativement 10 Ko.
    • DiskLocatorCustomProperty requiert approximativement 2 Ko.
  • Serveur Provisioning (chaque)
    • Un serveur requiert approximativement 5 Ko.
    • ServerIP requiert approximativement 2 Ko.
    • ServerStatus lorsqu’un serveur est démarré requiert approximativement 1 KB.
    • ServerCustomProperty requiert approximativement 2 Ko.
  • Magasin (chaque)
    • Store requiert approximativement 8 Ko.
    • La relation Store/Server requiert approximativement 4 Ko.
  • Mise à jour du disque (chaque)
    • VirtualHostingPool requiert approximativement 4 Ko.
    • UpdateTask requiert approximativement 10 Ko.
    • DiskUpdateDevice requiert approximativement 2 Ko.
    • Chaque relation DiskUpdateDevice:Disk requiert approximativement 35 Ko.
    • La relation Disk:UpdateTask requiert approximativement 1 Ko.

Les modifications suivantes entrainent l’augmentation des conditions requises en matière de taille :

  • Chaque tâche traitée (par exemple : fusionnement des versions de disque virtuel) requiert approximativement 2 Ko.
  • Si la fonction d’audit est activée, chaque modification effectuée par l’administrateur dans la console Citrix Provisioning, MCLI ou l’interface PowerShell requiert approximativement 1 Ko.

Mise en miroir de la base de données

Pour que Citrix Provisioning prenne en charge la mise en miroir de base de données MS SQL, la base de données doit être configurée avec High-safety mode with a witness (synchronous).

Lorsque vous utilisez la fonctionnalité de mise en miroir de bases de données, le client natif SQL est requis sur le serveur. Si ce dernier n’existe pas, l’option permettant d’installer le client natif SQL x64 ou x86 s’affiche lorsque SQL est installé.

Pour plus d’informations sur la manière de configurer et d’utiliser la mise en miroir de base de données, consultez la section Mise en miroir de la base de données.

Mise en cluster de base de données

Pour implémenter la mise en cluster de base de données, suivez les instructions de Microsoft, puis réexécutez l’assistant de configuration de Citrix Provisioning. Aucune étape supplémentaire n’est requise car l’assistant considère le cluster comme un SQL Server unique.

Configuration de l’authentification

Citrix Provisioning utilise l’authentification Windows pour accéder à la base de données. L’authentification Microsoft SQL Server n’est prise en charge exceptée par l’assistant de configuration.

Autorisations d’accès des utilisateurs à l’assistant de configuration

Les autorisations MS SQL suivantes sont nécessaires pour l’utilisateur qui exécute l’assistant de configuration :

  • dbcreator pour la création de la base de données
  • securityadmin pour la création des connexions SQL pour les services de streaming et SOAP

Si vous utilisez MS SQL Express dans un environnement de test, vous pouvez choisir de donner les privilèges sysadminà l’utilisateur qui exécute l’assistant de configuration, le plus haut niveau de privilège pour la base de données.

Autrement, si l’administrateur de la base de données a fourni une base de données vide en exécutant l’utilitaire DbScript.exe, l’utilisateur qui exécute l’assistant de configuration doit être le propriétaire de la base de données. En outre, cet utilisateur doit disposer de l’autorisation View any definition. Cette autorisation est définie par l’administrateur de la base de données lors de la création de la base de données vide.

Autorisations d’accès au compte de service

Le contexte utilisateur pour les services de streaming et SOAP nécessite les autorisations d’accès à la base de données suivantes :

  • db\_datareader
  • db\_datawriter
  • Autorisations d’exécution sur les procédures stockées

les rôles de base de données Datareader et Datawriter sont automatiquement configurés pour compte d’utilisateur des services de streaming et SOAP à l’aide de l’assistant de configuration. L’assistant de configuration attribue ces autorisations si l’utilisateur dispose des autorisations security admin. De plus, l’utilisateur du service doit disposer des privilèges système suivants :

  • Exécuter en tant que service
  • Accès en lecture au registre
  • Accès à Program Files\Citrix\Citrix Provisioning
  • Accès en lecture et écriture à n’importe quel emplacement de disque virtuel

Déterminez le compte d’utilisateur pris en charge sous lequel seront exécutés les services de streaming et SOAP :

  • compte de service réseau ;

    compte local doté des privilèges minimaux qui authentifie sur le réseau en tant que compte de la machine de domaine d’ordinateurs ;

  • compte d’utilisateur spécifié (requis lors de l’utilisation d’un partage Windows), qui peut être un compte d’utilisateur de domaine ou de groupe de travail ;

Pour que les licences KMS soient prises en charge, le compte d’utilisateur du serveur SOAP doit être membre du groupe Administrateurs local.

Conseil :

Comme l’authentification n’est pas fréquente dans les environnements de groupe de travail, des comptes d’utilisateurs dotés d’un minimum de privilèges doivent être créés sur chaque serveur et chaque instance doit posséder les mêmes informations d’identification.

Déterminez l’option de sécurité appropriée à utiliser dans cette batterie. Il n’est possible de sélectionner qu’une option par batterie et votre choix affecte les groupes d’utilisateurs et l’administration basée sur les rôles. Pour les options de sécurité :

  • Use Active Directory groups for security (par défaut) : sélectionnez cette option dans le cas d’un domaine Windows exécutant Active Directory. Cette option vous permet d’utiliser Active Directory pour les rôles d’administration de Citrix Provisioning.

    Remarque :

    Les domaines Windows 2,000 ne sont pas pris en charge.

  • Use Windows groups for security : sélectionnez cette option si vous vous trouvez sur un serveur unique ou dans un groupe de travail. Cette option vous permet d’utiliser les groupes/l’utilisateur local sur ce serveur particulier pour les rôles d’administration de Citrix Provisioning.

les utilisateurs de la console n’ont pas d’accès direct à la base de données.

Les permissions minimales requises pour une fonctionnalité de provisioning supplémentaire comprennent :

  • Assistant d’installation Citrix Virtual Apps and Desktops, Assistant Streamed VM Setup Wizard et service de mise à jour de l’image
    • Autorisations minimales vCenter, SCVMM et XenServer (anciennement Citrix Hypervisor)
    • Autorisations pour l’utilisateur actuel sur un contrôleur Citrix Virtual Apps and Desktops existant
    • Un compte d’utilisateur de la console Citrix Provisioning configuré en tant qu’administrateur Citrix Virtual Apps and Desktops et ajouté à un groupe SiteAdmin ou supérieur
    • Permission Active Directory Create Accounts pour créer des comptes dans la console. Pour utiliser des comptes existants, les comptes Active Directory doivent exister dans une unité d’organisation connue pour sélection.
  • Synchronisation de compte AD : autorisations de création, de réinitialisation et de suppression
  • Disque virtuel : privilèges requis pour effectuer les tâches de maintenance de volume

Remarque :

Un compte de service ne nécessite pas d’autorisations AD spéciales.

Sécurité Kerberos

Par défaut, la console Citrix Provisioning, Imaging Wizard, le composant logiciel enfichable PowerShell et MCLI utilisent l’authentification Kerberos lors des communications avec le service SOAP dans un environnement Active Directory. Une partie de l’architecture Kerberos est pour l’enregistrement d’un service (créer un nom principal de service, SPN) avec le contrôleur de domaine (Kerberos Key Distribution Center). L’enregistrement est essentiel car il permet à Active Directory d’identifier le compte sur lequel le service SOAP est exécuté. Si l’enregistrement n’est pas réalisé, l’authentification Kerberos échoue et Citrix Provisioning retourne à l’utilisation de l’authentification NTLM.

Le service SOAP de Citrix Provisioning s’enregistre à chaque démarrage du service et annule son enregistrement lors de l’arrêt du service. Toutefois, l’enregistrement échoue si le compte d’utilisateur du service ne dispose pas des autorisations nécessaires. Par défaut, le compte Network Service et les administrateurs de domaine possèdent des permissions que les comptes d’utilisateur de domaine normaux ne possèdent pas.

Pour contourner ce problème d’autorisation, effectuez l’une des opérations suivantes :

  • utilisez un compte différent qui possède des permissions pour créer des SPN ;

  • attribuez des permissions au compte de service.

||| |Type de compte|Autorisation| |—|—| |Compte ordinateur|SPN validé en écriture| |Compte utilisateur|Informations publiques en écriture|

Tâches de pré-installation