インフラストラクチャサービス
Windowsインフラストラクチャサービスは1つあります。 Citrix WEMインフラストラクチャサービス(NTサービス\ Citrix WEMインフラストラクチャサービス)です。Workspace Environment Management (WEM) インフラストラクチャサービスを管理します。アカウント:LocalSystem またはインフラストラクチャサービスが実行されるインフラストラクチャサーバー上の管理者ユーザーグループに属する、指定されたユーザーアカウント。
インフラストラクチャサービスのインストール
重要:
- インフラストラクチャサービスは、ドメイン Controller にインストールできません。Kerberos 認証の問題により、このシナリオではインフラストラクチャサービスが機能しなくなります。
- Delivery Controllerがインストールされているサーバーにはインフラストラクチャサービスをインストールしないでください。
使用データ収集に関する通知:
- デフォルトでは、インフラストラクチャサービスは WEM の使用状況に関する匿名の分析を毎晩収集し、HTTPS を介して Google Analytics サーバーに即座に送信します。Analyticsのコレクションは、Citrixプライバシーポリシーに準拠しています。
- インフラストラクチャサービスをインストールまたはアップグレードすると、データ収集がデフォルトで有効になります。オプトアウトするには、[WEM インフラストラクチャサービスの構成] ダイアログの [ 詳細設定 ] タブで、[ Google Analytics を使用したWorkspace Environment Management 改善に役立たない ] オプションを選択します。
インフラストラクチャサービスをインストールするには、 インフラストラクチャサーバーでCitrix Workspace Environment Management インフラストラクチャ Services.exe を実行します。PowerShell SDK モジュールはデフォルトでインストールされます。デフォルトでは、インフラストラクチャサービスは次のフォルダにインストールされます。C:\Program Files (x86)\ Citrix\ Workspace Environment Management インフラストラクチャサービス。SDK のドキュメントについては、 Citrix Developer ドキュメントを参照してください。
インフラストラクチャサービスのサイレントインストールまたはアップグレードを選択できます。例:
-
.\Citrix Workspace Environment Management Infrastructure Services.exe
/quiet BrokerLocation="C:\test\Infrastructure Services" /log "C:\test\test.log"
-
/quiet BrokerLocation="C:\test\Infrastructure Services" /log "C:\test\test.log"
-
/quiet
。サイレントモードを示します。 -
/log
。ロギングファイルの場所を示します。 -
BrokerLocation
。インフラストラクチャサービスのインストールパスを示します。
-
サービスプリンシパル名の作成
重要:
- 同じフォレストに存在する個別のドメインに対して、複数のサービスプリンシパル名 (SPN) を作成しないでください。環境内のすべてのインフラストラクチャサービスは、同じサービスアカウントを使用して実行する必要があります。
- 負荷分散を使用する場合は、インフラストラクチャサービスのすべてのインスタンスを同じサービスアカウント名を使用してインストールおよび構成する必要があります。
- Windows 認証は 、AD を使用する SQL インスタンスの特定の認証方法です。もう 1 つのオプションは、代わりに SQL アカウントを使用することです。
インストーラーの完了後、インフラストラクチャサービスの SPN を作成します。WEM では、エージェント、インフラストラクチャサービス、ドメイン Controller 間の接続と通信は Kerberos によって認証されます。SPN は、サービスインスタンスをサービスログオンアカウントに関連付けるために Kerberos 認証で使用されます。インフラストラクチャサービスインスタンスのログオンアカウントと、SPN に登録されているアカウントとの間に関係を構成する必要があります。したがって、Kerberos 認証要件に準拠するには、環境に適したコマンドを使用して、WEM SPN を既知の AD アカウントに関連付けるように構成します。
-
Windows 認証または負荷分散を使用しない場合は、次のコマンドを使用します。
setspn -C -S Norskale/BrokerService [hostname]
ここで、
hostname
はインフラストラクチャサーバの名前です。 -
Windows 認証または負荷分散 (Windows 認証が必要) を使用する場合は、次のコマンドを使用します。
setspn -U -S Norskale/BrokerService [accountname]
accountname
は、Windows 認証に使用されているサービスアカウントの名前はどこにあります。
SPN では、大文字と小文字が区別されます。
グループマネージドサービスアカウント
WEM のグループマネージドサービスアカウント (gMSa) ソリューションを実装できます。gMSAソリューションを使用すると、新しい gMSAプリンシパルのサービスを構成でき、パスワード管理は Windows によって処理されます。詳しくは、「https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview」を参照してください。gMSA をサービス原則として使用する場合、管理者に管理を任せる代わりに Windows オペレーティングシステムがアカウントのパスワードを管理します。これにより、後でアカウントのパスワードを変更する場合、インフラストラクチャサービスに対して構成した Windows アカウントの偽装設定を変更する必要がなくなります。
WEM 用の gMSAソリューションを実装するには、次の手順を実行します。
-
すでにgMSAをお持ちの場合は、次の操作を行ってください。
-
次のコマンドを使用して、Citrix WEM SPN をアカウントにバインドします。
setspn -C -S Norskale/BrokerService [gMSA]$
gMSA
は、gMSA アカウントの名前です。 -
次のコマンドを使用して、関連するマシンをアカウントに追加します。
Set-ADServiceAccount -Identity [gMSA] -PrincipalsAllowedToRetrieveManagedPassword [hostname]
ここで、[hostname] はインフラストラクチャサーバーの名前です。
-
-
gMSAをお持ちでない場合は、ドメインコントローラーに移動して作成し、Citrix WEM SPNをそれにバインドします。次のコマンドを使用します:
New-ADServiceAccount [gMSA] -DNSHostName [hostname 1] -PrincipalsAllowedToRetrieveManagedPassword [hostname 2], [hostname 3] -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames Norskale/BrokerService
ここで、[ホスト名 1] は DNS サーバーの名前です。
ここで、[ホスト名 2]、 [ホスト名 3] はインフラストラクチャサーバの名前です。
gMSAの作成の詳細については、「https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accounts」を参照してください。
-
gMSA を手動で設定します。
- アカウントがデータベースにアクセスできるようにします。
- プライマリ SQL Server で、[ セキュリティ] > [ログイン] に移動し、[ ログイン] を右クリックして [ 新規ログイン] を選択します。
- [ ログイン-新規] ウィンドウで、[ 検索] をクリックします。
-
「ユーザーまたはグループの選択 」ウィンドウで、次のように設定を構成し、 「OK」 をクリックしてウィンドウを終了します。
- オブジェクトタイプ。[ サービスアカウント] のみを選択します。
- 所在地。[ 管理対象サービスアカウント] を選択します。
- オブジェクト名。手順 1 で作成したアカウント名を入力します。
- [ ユーザーマッピング ] ページで、gMSAを適用するデータベースを選択し、データベースのロールメンバシップとして db-owner を選択します。
- [ステータス ] ページで、[ 許可 ] および [ 有効 ] オプションが選択されていることを確認します。
- 「 OK」をクリックして「ログイン-新規 」ウィンドウを終了します。
- 追加したサービスアカウントを使用して、Citrix WEM インフラストラクチャサービスを開始します。
- インフラストラクチャサーバーで、Windowsサービスマネージャーを開き、Citrix WEMインフラストラクチャサービスを右クリックして、[ プロパティ]を選択します。
- [ ログオン ] ページで、[ このアカウント] を選択し、[ 参照] をクリックして、手順 3 の 3 番目のサブステップの説明に従って設定を構成します。
- OK をクリックして Citrix WEM インフラストラクチャサービスのプロパティウィンドウを終了します 。
- Windows サービスマネージャーで、Citrix WEM インフラストラクチャサービスを再起動します。
注:
または、WEM GUI を使用してアカウントを設定することもできます。「 WEM データベースの作成 」と「 インフラストラクチャサービスの設定」を参照してください。
- アカウントがデータベースにアクセスできるようにします。
負荷分散の構成
ヒント:
NetScaler ADCによる負荷分散の記事では 、WEM管理コンソールとWEMエージェントからの着信要求を負荷分散するようにNetScaler ADCアプライアンスを構成する方法について詳しく説明します。
ロードバランシングサービスで WEM を構成するには、次の手順を実行します。
-
WEM データベースに接続するための WEM インフラストラクチャサービスの Windows インフラストラクチャサービスアカウントを作成します。
-
WEM データベースを作成するときは、[ インフラストラクチャサービスデータベース接続に Windows 認証を使用する ] オプションを選択し、インフラストラクチャサービスのアカウント名を指定します。詳細については、「 Workspace Environment Management データベースの作成」を参照してください。
-
SQL 認証ではなく Windows 認証を使用して SQL データベースに接続するように、各インフラストラクチャサービスを構成します。[ Windows アカウントの偽装を有効にする ] オプションを選択し、インフラストラクチャサービスアカウントの資格情報を指定します。詳細については、「 インフラストラクチャサービスの構成」を参照してください。
-
WEM インフラストラクチャサービスの SPN を構成して、インフラストラクチャサービスアカウント名を使用します。詳細については、「 サービスプリンシパル名の作成」を参照してください。
重要:
WEM 環境を展開する前に、サービスアカウントまたはマシンアカウントのどちらを使用するかを決定します。WEM 環境を既に展開した後は、元に戻すことはできません。たとえば、マシンアカウントをすでに使用した後に着信要求をロードバランシングする場合は、サービスアカウントではなくマシンアカウントを使用する必要があります。
-
VIP の背後に配置するインフラストラクチャサーバーの数をカバーする仮想 IP アドレス (VIP) を作成します。エージェントが VIP に接続すると、VIP の対象となるインフラストラクチャサーバーはすべて対象となります。
-
エージェントホスト構成 GPO を構成するときは、インフラストラクチャサーバーの設定を個々のインフラストラクチャサーバーのアドレスではなく VIP に設定します。詳細については、「 エージェントのインストールと構成」を参照してください。
-
セッション永続性は、管理コンソールとインフラストラクチャサービス間の接続に必要です。(エージェントとインフラストラクチャサービスの間のセッション永続性は必要ありません)。VIP を使用するのではなく、各管理コンソールをインフラストラクチャサービスサーバーに直接接続することをお勧めします。
Workspace Environment Management データベースの作成
ヒント:
WEM PowerShell SDK モジュールを使用してデータベースを作成することもできます。SDK のドキュメントについては、 Citrix Developer ドキュメントを参照してください。
注:
- SQL Server で Windows 認証を使用している場合は、sysadmin アクセス許可を持つ ID でデータベース作成ユーティリティを実行します。
- WEMデータベースのプライマリファイル(.mdfファイル)をデフォルトサイズ50 MBで構成することをお勧めします。
WEM データベース管理ユーティリティを使用してデータベースを作成します 。これは、インフラストラクチャサービスのインストールプロセス中にインストールされ、その後すぐに開始されます。
-
データベース管理ユーティリティがまだ開いていない場合は、[ スタート ]メニューから[ Citrix]>[Workspace Environment Management]>[WEM データベース管理ユーティリティ]を選択します。
-
[ データベースの作成] をクリックし、[ 次へ] をクリックします。
-
次のデータベース情報を入力し、[ 次へ] をクリックします。
-
サーバー名とインスタンス名。データベースがホストされる SQL Server のアドレス。このアドレスは、インフラストラクチャサーバから入力されたとおりに到達可能である必要があります。マシン名、完全修飾ドメイン名、または IP アドレスとして、サーバーおよびインスタンス名を入力します。 完全なインスタンスアドレスをサーバーアドレス、ポート\ instanceNameとして指定します。ポートが指定されていない場合、デフォルトの SQL ポート番号 (1433) が使用されます。
-
データベース名。作成する SQL データベースの名前。
注:
データベース名には、ハイフン (-) やダッシュ (/) などの特殊文字は使用できません。
-
データファイル:SQL サーバー上の.mdf ファイルの場所へのパス。
-
ログファイル:SQL Server 上の.ldf ファイルの場所へのパス。
注:
データベース管理ユーティリティは、データファイルとログファイルの既定の場所を SQL Server に照会できません。MS SQL Server の既定のインストールでは、既定値が設定されます。これら 2 つのフィールドの値が MS SQL Server のインストールに適していることを確認してください。そうしないと、データベース作成プロセスが失敗します。
-
-
ウィザードでデータベースの作成に使用できるデータベースサーバー認証情報を指定し、[ 次へ] をクリックします。これらの認証情報は、データベースの作成後にインフラストラクチャサービスがデータベースに接続するために使用する認証情報とは無関係です。これらは保存されません。
デフォルトでは、[ 統合接続を使用 ] オプションが選択されています。これにより、ウィザードは、実行中の ID の Windows アカウントを使用して SQL に接続し、データベースを作成できます。この Windows アカウントにデータベースを作成するための十分な権限がない場合は、データベース管理ユーティリティを十分な権限を持つ Windows アカウントとして実行するか、このオプションをオフにして、代わりに十分な権限を持つ SQL アカウントを指定できます。
-
VUEM 管理者とデータベースセキュリティの詳細を入力し、[ 次へ] をクリックします。ここで指定した資格情報は、データベースの作成後にデータベースに接続するためにインフラストラクチャサービスによって使用されます。それらはデータベースに格納されます。
-
初期管理者グループ。このユーザー・グループは、管理コンソールのフルアクセス管理者として事前構成されています。Workspace Environment Management 管理者として構成されたユーザーのみが、管理コンソールを使用できます。有効なユーザーグループを指定してください。指定しないと、管理コンソールを自分で使用できなくなります。
-
インフラストラクチャサービスデータベース接続に Windows 認証を使用します。このオプションをオフにすると (デフォルト)、データベースはインフラストラクチャサービスが VuemUser SQL ユーザーアカウントを使用して接続することを期待します 。VUEMuser SQL ユーザーアカウントは、インストールプロセスによって作成されます。これには、SQL インスタンスで混合モード認証を有効にする必要があります。
このオプションを選択すると、データベースはインフラストラクチャサービスが Windows アカウントを使用してそれに接続することを想定します。この場合、選択した Windows アカウントに SQL インスタンスへのログインが既になっていない必要があります。つまり、データベースの作成に使用したのと同じ Windows アカウントを使用してインフラストラクチャサービスを実行することはできません。
gMSA を選択するには、AD ユーザーを選択するのと同じ手順に従います。
- vuemUser SQL ユーザーアカウントのパスワードを設定する。デフォルトでは、VUEMuser SQL アカウントは大文字、小文字、数字、および句読点を使用する 8 文字のパスワードを使用して作成されます。独自の VUEMuser SQL アカウントのパスワードを入力する場合 (たとえば、SQL ポリシーでより複雑なパスワードが必要な場合) は、このオプションを選択します。
重要:
- Workspace Environment Management データベースを SQL Server 常時オン可用性グループに展開する場合は、vuemUser SQL ユーザーアカウントパスワードを設定する必要があります。
- ここでパスワードを設定する場合は、 インフラストラクチャサービスを設定するときに同じパスワードを指定することを忘れないでください。
-
-
[サマリー] ペインで、選択した設定を確認し、問題がなければ [ データベースの作成] をクリックします。
-
データベースの作成が正常に完了したことが通知されたら、[ 完了 ] をクリックしてウィザードを終了します。
データベースの作成中にエラーが発生した場合は、インフラストラクチャサービスのインストールディレクトリにあるログファイル「Citrix WEMデータベース管理ユーティリティのデバッグ Log.log」を確認します。
インフラストラクチャサービスの構成
ヒント:
Workspace Environment Management PowerShell SDK モジュールを使用してインフラストラクチャサービスを構成することもできます。SDK のドキュメントについては、 Citrix Developer ドキュメントを参照してください。
インフラストラクチャサービスを実行する前に、ここで説明するように WEM インフラストラクチャサービス構成ユーティリティを使用して構成する必要があります 。
-
[ スタート ]メニューから[ Citrix]>[Workspace Environment Management][WEM インフラストラクチャサービス構成ユーティリティ]を選択します。
-
[ データベース設定 ] タブで、次の詳細を入力します。
-
データベースサーバーとインスタンス。Workspace Environment Management データベースがホストされている SQL Server インスタンスのアドレス。これは、インフラストラクチャサーバーから入力されたとおりに到達可能である必要があります。完全なインスタンスアドレスを「サーバアドレス, ポート\ instanceName」として指定します。ポートが指定されていない場合は、デフォルトの SQL ポート番号 (1433) が使用されます。
-
データベースフェイルオーバーサーバーとインスタンス。データベースミラーリングを使用している場合は、ここでフェールオーバーサーバーのアドレスを指定します。
-
データベース名。SQLインスタンス上のWorkspace Environment Management データベースの名前。
-
-
[ ネットワーク設定 ] タブで、インフラストラクチャサービスが使用するポートを入力します。
-
管理ポート。このポートは、管理コンソールがインフラストラクチャサービスに接続するために使用されます。
-
エージェントサービスポート。このポートは、インフラストラクチャサービスに接続するためにエージェントホストによって使用されます。
-
キャッシュ同期ポート。このポートは、エージェントサービスによってキャッシュをインフラストラクチャサービスと同期するために使用されます。
-
WEM モニタリングポート。[現在は使用されていません。]
-
-
[ 詳細設定 ] タブで、偽装と自動更新の設定を入力します。
-
Windows アカウントの偽装を有効にします。デフォルトでは、このオプションはクリアされ、インフラストラクチャサービスは混合モード認証を使用してデータベースに接続します (データベース作成時に作成された SQL アカウント VuemUser を使用)。代わりに、データベースの作成中に Windows インフラストラクチャサービスアカウントを選択した場合は、このオプションを選択し、接続中に偽装するインフラストラクチャサービスに対して同じ Windows アカウントを指定する必要があります。選択するアカウントは、インフラストラクチャサーバーのローカル管理者である必要があります。
gMSA を選択するには、AD ユーザーを選択するのと同じ手順に従います。
-
vuemUser SQL ユーザーアカウントのパスワードを設定する。データベースの作成時に VueUser SQL ユーザに対して設定されたカスタムパスワードをインフラストラクチャサービスに通知できます 。このオプションは、データベースの作成時に独自のパスワードを指定した場合のみ有効にします。
-
インフラストラクチャサービスキャッシュの更新遅延。インフラストラクチャサービスがキャッシュを更新するまでの時間(分単位)。キャッシュは、インフラストラクチャサービスが SQL に接続できない場合に使用されます。
-
インフラストラクチャサービス SQL 状態モニタの遅延。各インフラストラクチャサービスが SQL Server をポーリングしようとする間隔 (秒)。
-
インフラストラクチャサービスの SQL 接続タイムアウト。SQL Server との接続の確立を試みるときにインフラストラクチャサービスが待機する時間(秒)。試行を終了してエラーが発生します。
-
デバッグモードを有効にします。有効にすると、インフラストラクチャサービスは冗長ログモードに設定されます。
-
オンラインでもキャッシュを使用する。有効にすると、インフラストラクチャサービスは常にキャッシュからサイト設定を読み取ります。
-
パフォーマンスチューニングを有効にします。接続されているエージェントの数が特定のしきい値(デフォルトは 200)を超えるシナリオで、パフォーマンスを最適化できます。その結果、エージェントまたは管理コンソールがインフラストラクチャサービスに接続するまでの時間が短くなります。
- ワーカースレッドの最小数。スレッドプールが要求に応じて作成するワーカースレッドの最小数を指定します。30~3000 の範囲のワーカースレッド数を設定します。接続されているエージェントの数に基づいて値を決定します。デフォルトでは、ワーカースレッドの最小数は 200 です。
- 非同期 I/O スレッドの最小数。スレッドプールが要求に応じて作成する非同期 I/O スレッドの最小数を指定します。非同期 I/O スレッドの数を 30 ~ 3000 の範囲で設定します。接続されているエージェントの数に基づいて値を決定します。デフォルトでは、非同期 I/O スレッドの最小数は 200 です。
重要:
この機能は、エージェントまたは管理コンソールがインフラストラクチャサービスから断続的に切断する場合に特に便利です。
注:
[Enable Performance Tuning] フィールドで設定した値は、新しい要求が行われたとき、およびスレッドの作成と破棄を管理するアルゴリズムに切り替える前に使用されます。詳しくは、「https://docs.microsoft.com/en-us/dotnet/api/system.threading.threadpool.setminthreads?view=netframework-4.8」および「https://support.microsoft.com/en-sg/help/2538826/wcf-service-may-scale-up-slowly-under-load」を参照してください。
-
Google Analytics を使用して、Workspace Environment Management 改善を支援します。選択すると、インフラストラクチャサービスは匿名分析を Google Analytics クスサーバーに送信します。
-
Google Analytics を使用してWorkspace Environment Management 改善に役立たない。選択した場合、 インフラストラクチャサービスはGoogle Analyticsサーバーに匿名のアナリティクスを送信しません。
重要:
2212 以降、Workspace Environment Management は、インフラストラクチャサービスをホストするマシンのリージョンに基づいてどのオプションを選択するかを決定します。マシンがヨーロッパ以外の地域にある場合は、最初のオプションが選択されます。マシンがヨーロッパ地域にある場合は、2番目のオプションが選択されます。この動作は新規インストールにのみ適用されます。
-
-
[ データベースのメンテナンス ] タブを使用して、データベースメンテナンスを構成できます。
-
スケジュールされたデータベースメンテナンスを有効にします。この設定を有効にすると、データベースから古い統計レコードが定期的に削除されます。
-
統計保持期間。ユーザおよびエージェントの統計情報を保持する期間を指定します。デフォルトは365日です。
-
システム監視の保持期間。システム最適化統計情報を保持する期間を指定します。 デフォルトは 90 日です。
-
エージェント登録の保持期間。エージェント登録ログをデータベースに保持する期間を決定します。デフォルトは 1 日です。
-
実行時間。データベースのメンテナンス・アクションが実行される時刻を指定します。デフォルトは 02:00 です。
ヒント
ベストプラクティスとして、データベースのサイズを削減し、最高のパフォーマンスを達成するために、スケジュールされたデータベースメンテナンスを有効にすることをお勧めします。単一の WEM 展開に複数のインフラストラクチャサービスがある場合は、1 つのインフラストラクチャサービスに対してのみ有効にします。
-
-
必要に応じて、[ ライセンス ]タブを使用して、インフラストラクチャサービスの構成中にCitrix ライセンスサーバーを指定できます。接続していない場合は、管理コンソールが新しいWorkspace Environment Management データベースに初めて接続するときに、管理コンソールリボンの[ バージョン情報 ]タブにCitrix ライセンスサーバーの資格情報を入力する必要があります。いずれの場合も、Citrixライセンスサーバーの情報は、データベース内の同じ場所に保存されます。
- グローバルライセンスサーバの上書き。Workspace Environment Management で使用されるCitrixライセンスサーバーの名前を入力するには、このオプションを有効にします。ここで入力した情報は、Workspace Environment Management データベースにすでに存在するCitrixライセンスサーバー情報よりも優先されます。
インフラストラクチャサービスを適切に設定したら、[ 構成の保存 ] をクリックしてこれらの設定を保存し、[インフラストラクチャサービス構成] ユーティリティを終了します。