Workspace Environment Management

インフラサービス

Windows インフラストラクチャ サービスは 1 つあります: Citrix WEM インフラストラクチャ サービス (NT SERVICE\Citrix WEM インフラストラクチャ サービス)。 Workspace Environment Management (WEM) インフラストラクチャ サービスを管理します。 アカウント: LocalSystem またはインフラストラクチャ サービスが実行されているインフラストラクチャ サーバー上の管理者ユーザー グループに属する指定されたユーザー アカウント。

インフラストラクチャサービスをインストールする

重要:

  • インフラストラクチャ サービスはドメイン コントローラーにインストールできません。 Kerberos 認証の問題により、このシナリオではインフラストラクチャ サービスが機能しません。
  • Delivery Controller がインストールされているサーバーにインフラストラクチャ サービスをインストールしないでください。

使用データ収集に関する通知:

  • デフォルトでは、インフラストラクチャ サービスは毎晩 WEM の使用状況に関する匿名の分析情報を収集し、それを HTTPS 経由で Google アナリティクス サーバーに直ちに送信します。 Analytics コレクションは、 Citrixプライバシーポリシー.
  • インフラストラクチャ サービスをインストールまたはアップグレードすると、データ収集はデフォルトで有効になります。 オプトアウトするには、WEM インフラストラクチャ サービス構成ダイアログ 詳細設定 タブで、 Google Analytics を使用して Workspace Environment Management の改善に協力しない オプションを選択します。

インフラストラクチャ サービスをインストールするには、インフラストラクチャ サーバーで Citrix Workspace Environment Management Infrastructure Services.exe を実行します。 PowerShell SDK モジュールはデフォルトでインストールされます。 デフォルトでは、インフラストラクチャサービスは次のフォルダにインストールされます:C:\Program Files (x86)\Citrix\Workspace Environment Management Infrastructure Services。 SDK のドキュメントについては、以下を参照してください。 Citrix開発者向けドキュメント.

インフラストラクチャ サービスのサイレント インストールまたはアップグレードを選択できます。 例えば:

  • .\Citrix Workspace 環境管理インフラストラクチャサービス.exe /quiet BrokerLocation="C:\test\Infra Structure Services" /log "C:\test\test.ログ"

  • /quiet BrokerLocation="C:\test\Infrastructure Services" /log "C:\test\test.log"

    • /静かに。 サイレントモードを示します。
    • /log。 ログファイルの場所を示します。
    • ブローカー所在地。 インフラストラクチャ サービスのインストール パスを示します。

サービスプリンシパル名を作成する

重要:

  • 負荷分散を使用する場合、インフラストラクチャ サービスのすべてのインスタンスを同じサービス アカウント名を使用してインストールおよび構成する必要があります。
  • Windows 認証 は、AD を使用する SQL インスタンスの特定の認証方法です。 他のオプションとしては、代わりに SQL アカウントを使用することです。

インストーラーが終了したら、インフラストラクチャ サービスの SPN を作成します。 WEM では、エージェント、インフラストラクチャ サービス、ドメイン コントローラー間の接続と通信は Kerberos によって認証されます。 SPN は、サービス インスタンスをサービス ログオン アカウントに関連付けるために Kerberos 認証によって使用されます。 インフラストラクチャ サービス インスタンスのログオン アカウントと SPN に登録されたアカウント間の関係を構成する必要があります。 したがって、Kerberos 認証の要件に準拠するには、環境に適したコマンドを使用して、WEM SPN を既知の AD アカウントに関連付けるように構成します。

  • Windows 認証または負荷分散を使用しない場合は、次のコマンドを使用します。

    • setspn -C -S [SPN name] [hostname]

    ここで、 ホスト名 はインフラストラクチャ サーバーの名前です。

  • Windows 認証または負荷分散 (Windows 認証が必要) を使用する場合は、次のコマンドを使用します。

    • setspn -U -S [SPN name] [accountname]

    どこ アカウント名 は、Windows 認証に使用されているサービス アカウントの名前です。

  • のデフォルト値 [SPN名] です Norskale/ブローカーサービス. 複数の WEM 展開が同じフォレスト内にある場合は、次のレジストリ値を追加して、複数の SPN を構成する必要がある場合があります。

    • setspn -C -S [SPN名] [ホスト名] 又は setspns -U -S [SPN名] [アカウント名]

    • エージェントマシンの場合: HKEY_LOCAL_MACHINE\ SYSTEM\ currentControlSet\ コントロール\ Norskale\ エージェントホスト

    • インフラストラクチャおよびコンソールマシンの場合: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Norskale\インフラストラクチャサービス

    • 名前: AlternativeSPN
    • 種類:REG_SZ
    • 値: [SPN 名] の実際の値

SPN では大文字と小文字が区別されます。

グループ管理サービスアカウント

WEM のグループ管理サービス アカウント (gMSA) ソリューションを実装できます。 gMSA ソリューションを使用すると、新しい gMSA プリンシパル用にサービスを構成でき、パスワード管理は Windows によって処理されます。 詳細については、次を参照してください。 https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview. gMSA をサービス プリンシパルとして使用すると、管理者による管理ではなく、Windows オペレーティング システムがアカウントのパスワードを管理します。 こうすることで、後でアカウントのパスワードを変更する場合に、インフラストラクチャ サービス用に構成した Windows アカウント偽装設定を変更する必要がなくなります。

WEM 用の gMSA ソリューションを実装するには、次の手順に従います。

  1. 既存の gMSA が既にある場合は、次の操作を行います。

    1. 次のコマンドを使用して、Citrix WEM SPN をアカウントにバインドします。

      • setspn -C -S Norskale/BrokerService [gMSA]$

      ここで、 gMSA は gMSA アカウントの名前です。

    2. 次のコマンドを使用して、関連するマシンをアカウントに追加します。

      • Set-ADServiceAccount -Identity [gMSA] -PrincipalsAllowedToRetrieveManagedPassword [hostname]

      ここで、[hostname] はインフラストラクチャ サーバーの名前です。

  2. gMSA がない場合は、ドメイン コントローラーに移動して gMSA を作成し、Citrix WEM SPN をそれにバインドします。 次のコマンドを使用します。

    • New-ADServiceAccount [gMSA] -DNSHostName [hostname 1] -PrincipalsAllowedToRetrieveManagedPassword [hostname 2], [hostname 3] -KerberosEncryptionType RC4, AES128, AES256 -ServicePrincipalNames Norskale/BrokerService

    ここで、[hostname 1]はDNSサーバーの名前です。

    ここで、[hostname 2]、[hostname 3] はインフラストラクチャ サーバーの名前です。

    gMSA の作成の詳細については、 https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accountsを参照してください。

  3. gMSA を手動で構成します。

    1. アカウントがデータベースにアクセスできるようにします。
      1. プライマリ SQL Server で、 セキュリティ > ログインに移動し、 ログインを右クリックして、 新しいログインを選択します。
      2. ログイン - 新しいウィンドウで、 検索をクリックします。
      3. ユーザーまたはグループを選択 ウィンドウで、次のように設定を構成し、をクリックします わかりました をクリックしてウィンドウを終了します。
        • オブジェクト タイプ。 選択のみ サービスアカウント.
        • 場所管理されたサービス アカウントを選択します。
        • オブジェクト名。 手順 1 で作成したアカウント名を入力します。
      4. ユーザー マッピング ページで、gMSA を適用するデータベースを選択し、データベースのロール メンバーシップとして db-owner を選択します。
      5. 地位 ページで、 叶える そして 有効 オプションが選択されます。
      6. OK をクリックして、 ログイン - 新規 ウィンドウを終了します。
    2. 追加したサービス アカウントを使用して、Citrix WEM インフラストラクチャ サービスを開始します。
      1. インフラストラクチャ サーバーで、Windows サービス マネージャーを開き、Citrix WEM インフラストラクチャ サービスを右クリックして、 プロパティを選択します。
      2. ログオンする ページで、 このアカウントクリック ブラウズをクリックし、ステップ 3 の 3 番目のサブステップの説明に従って設定を構成します。
      3. クリック わかりました を終了するには、 Citrix WEMインフラストラクチャサービスのプロパティ 窓。
      4. Windowsサービスマネージャーで、Citrix WEMインフラストラクチャサービスを再起動します。

      注意:

      または、WEM GUI を使用してアカウントを構成することもできます。 見る WEM データベースの作成 そして インフラストラクチャ サービスを構成する.

負荷分散を構成する

ヒント:

Citrix ADCによる負荷分散 この記事では、WEM管理コンソールとWEMエージェントからの受信要求を負荷分散するようにCitrix ADCアプライアンスを構成する方法について詳しく説明します。

負荷分散サービスを使用して WEM を構成するには:

  1. WEM インフラストラクチャ サービスが WEM データベースに接続できるように、Windows インフラストラクチャ サービス アカウントを作成します。

  2. WEM データベースを作成するときは、 インフラストラクチャ サービス データベース接続に Windows 認証を使用する オプションを選択し、インフラストラクチャ サービス アカウント名を指定します。 詳細については、「 Workspace Environment Management データベースを作成する」を参照してください。

  3. SQL 認証の代わりに Windows 認証を使用して SQL データベースに接続するように各インフラストラクチャ サービスを構成します。 Windows アカウントの偽装を有効にする オプションを選択し、インフラストラクチャ サービス アカウントの資格情報を入力します。 詳細については、「 インフラストラクチャ サービスを構成する」を参照してください。

  4. WEM インフラストラクチャサービスの SPN を、インフラストラクチャサービスアカウント名を使用するように構成します。 詳細については、以下を参照してください。 サービス プリンシパル名を作成する.

    重要:

    WEM 環境をデプロイする前に、サービスアカウントとマシンアカウントのどちらを使用するかを決定します。 WEM 環境がすでにデプロイされた後は、元に戻すことはできません。 たとえば、マシン アカウントを使用した後に受信要求の負荷を分散する場合は、サービス アカウントではなくマシン アカウントを使用する必要があります。

  5. VIP の背後に配置するインフラストラクチャ サーバーの数をカバーする仮想 IP アドレス (VIP) を作成します。 VIPの対象となるすべてのインフラストラクチャサーバーは、エージェントがVIPに接続するときに対象となります。

  6. エージェント ホスト構成 GPO を構成するときは、インフラストラクチャ サーバー設定を、個々のインフラストラクチャ サーバーのアドレスではなく VIP に設定します。 詳細については、以下を参照してください。 エージェントのインストールと構成.

  7. セッション永続性は、管理コンソールとインフラストラクチャサービス間の接続に必要です。 (エージェントとインフラストラクチャサービス間のセッション永続性は必要ありません。各管理コンソールは、VIP を使用するのではなく、インフラストラクチャ サービス サーバーに直接接続することをお勧めします。

ワークスペース環境管理データベースを作成する

ヒント:

WEM PowerShell SDK モジュールを使用してデータベースを作成することもできます。 SDK のドキュメントについては、以下を参照してください。 Citrix開発者向けドキュメント.

注意:

  • SQL Server に Windows 認証を使用している場合は、sysadmin 権限を持つ ID でデータベース作成ユーティリティを実行します。
  • Citrix では、WEM データベースのプライマリ ファイル (.mdf ファイル) をデフォルト サイズ 50 MB で構成することをお勧めします。

WEM データベース管理ユーティリティ を使用してデータベースを作成します。 これはインフラストラクチャ サービスのインストール プロセス中にインストールされ、インストール後すぐに開始されます。

  1. データベース管理ユーティリティがまだ開いていない場合は、 始める メニュー選択 シトリックス>Workspace Environment Management>WEM データベース管理ユーティリティ.

    WEM データベース管理ユーティリティ

  2. データベースの作成をクリックし、次に 次へをクリックします。

    WEMデータベース情報

  3. 次のデータベース情報を入力し、[ 次へ] をクリックします。

    • サーバー名とインスタンス名. データベースがホストされる SQL Server のアドレス。 このアドレスは、インフラストラクチャ サーバーから入力されたとおりに到達できる必要があります。 サーバー名とインスタンス名を、マシン名、完全修飾ドメイン名、または IP アドレスとして入力します。 完全なインスタンス アドレスを serveraddress,port\instancenameとして指定します。 ポートが指定されていない場合は、デフォルトの SQL ポート番号 (1433) が使用されます。

    • データベース名。 作成する SQL データベースの名前。

    注意:

    ハイフン (-) やダッシュ (/) などの特殊文字は、データベース名には使用できません。

    • データファイル: パス .mdf SQL Server 上のファイルの場所。

    • ログ ファイル: SQL Server 上の .ldf ファイルの場所へのパス。

    注意:

    データベース管理ユーティリティは、SQL Server に対してデータおよびログ ファイルの既定の場所を照会できません。 デフォルトは、MS SQL Server のデフォルト・インストールのデフォルト値です。 これら 2 つのフィールドの値が MS SQL Server インストールに対して正しいことを確認してください。そうでないと、データベース作成プロセスは失敗します。

    WEM データベース サーバーの認証情報

  4. ウィザードがデータベースの作成に使用できるデータベース サーバー資格情報を指定してから、 次へをクリックします。 これらの資格情報は、インフラストラクチャ サービスがデータベースの作成後にデータベースに接続するために使用する資格情報とは独立しています。 それらは保存されません。

    オプション 統合接続を使用する がデフォルトで選択されています。 これにより、ウィザードは、実行されている ID の Windows アカウントを使用して SQL に接続し、データベースを作成できます。 この Windows アカウントにデータベースを作成するための十分な権限がない場合は、十分な権限を持つ Windows アカウントとしてデータベース管理ユーティリティを実行するか、このオプションをオフにして代わりに十分な権限を持つ SQL アカウントを提供することができます。

    WEM データベースのセキュリティ

  5. VUEM 管理者とデータベース セキュリティの詳細を入力し、 次に. ここで提供する資格情報は、データベースの作成後にインフラストラクチャ サービスがデータベースに接続するために使用されます。 これらはデータベースに格納されます。

    • 初期管理者グループ。 このユーザー グループは、管理コンソールのフル アクセス管理者として事前構成されています。 Workspace Environment Management 管理者として設定されたユーザーのみが管理コンソールを使用できます。 有効なユーザー・グループを指定しないと、管理コンソールを自分で使用できなくなります。

    • インフラストラクチャ サービス データベース接続に Windows 認証を使用します。 このオプションがオフになっている場合 (デフォルト)、データベースはインフラストラクチャ サービスが vuemUser SQL ユーザー アカウントを使用して接続することを想定します。 vuemUser SQL ユーザーアカウントは、インストールプロセスによって作成されます。 これには、SQL インスタンスに対して混合モード認証を有効にする必要があります。

    このオプションを選択すると、データベースはインフラストラクチャ・サービスが Windows アカウントを使用してデータベースに接続することを想定します。 この場合、選択した Windows アカウントは、SQL インスタンスにまだログインしていない必要があります。 つまり、データベースの作成に使用したのと同じ Windows アカウントを使用してインフラストラクチャ サービスを実行することはできません。

    gMSA を選択するには、AD ユーザーを選択するのと同じ手順に従います。

    • vuemUser SQL ユーザーアカウントのパスワードを設定します. デフォルトでは、vuemUser SQL アカウントは、大文字と小文字、数字、句読点を使用した 8 文字のパスワードで作成されます。 独自の vuemUser SQL アカウント パスワードを入力する場合 (たとえば、SQL ポリシーでより複雑なパスワードが必要な場合) は、このオプションを選択します。

    重要:

  6. 概要ペインで、選択した設定を確認し、問題がなければ「 データベースの作成」をクリックします。

  7. データベースの作成が正常に完了したことが通知されたら、 終える をクリックしてウィザードを終了します。

    データベースの作成中にエラーが発生した場合は、インフラストラクチャ サービスのインストール ディレクトリにあるログ ファイル「Citrix WEM データベース管理ユーティリティ デバッグ ログ.log」を確認してください。

インフラストラクチャサービスを構成する

ヒント:

Workspace Environment Management PowerShell SDK モジュールを使用してインフラストラクチャサービスを構成することもできます。 SDK のドキュメントについては、以下を参照してください。 Citrix開発者向けドキュメント.

インフラストラクチャ サービスを実行する前に、ここで説明するように、 WEM インフラストラクチャ サービス構成 ユーティリティを使用して構成する必要があります。

  1. から 始める メニュー選択 シトリックス > Workspace Environment Management > WEM インフラストラクチャ サービス構成ユーティリティ.

  2. データベース設定 タブで次の詳細を入力します。

    • データベース・サーバーとインスタンス. Workspace Environment Management データベースがホストされている SQL Server インスタンスのアドレス。 これは、インフラストラクチャ サーバーから入力されたとおりに到達できる必要があります。 完全なインスタンス アドレスを “serveraddress, port\instancename” として指定します。 ポートが指定されていない場合は、デフォルトの SQL ポート番号 (1433) が使用されます。

    • データベース・フェイルオーバー・サーバーとインスタンス. データベース ミラーリングを使用している場合は、ここでフェールオーバー サーバーのアドレスを指定します。

    • データベース名。 SQL インスタンス上の Workspace Environment Management データベースの名前。

    インフラストラクチャサービス構成データベース設定

  3. ネットワーク設定 タブで、インフラストラクチャ サービスが使用するポートを入力します。

    • 管理ポート。 このポートは、管理コンソールがインフラストラクチャ サービスに接続するために使用します。

    • エージェントサービスポート。 このポートは、エージェント ホストがインフラストラクチャ サービスに接続するために使用されます。

    • キャッシュ同期ポート. このポートは、エージェント サービスがインフラストラクチャ サービスとキャッシュを同期するために使用されます。

    • WEM 監視ポート. [現在は使用されていません。]

    インフラストラクチャ サービス構成ネットワーク設定

  4. 詳細設定 タブで、偽装と自動更新の設定を入力します。

    • Windows アカウントの偽装を有効にする. デフォルトでは、このオプションはオフになっており、インフラストラクチャ サービスは混合モード認証を使用してデータベースに接続します (データベース作成時に作成された SQL アカウント vuemUser を使用)。 データベースの作成時に Windows インフラストラクチャ・サービス・アカウントを選択した場合は、このオプションを選択し、接続時にインフラストラクチャ・サービスが偽装するのと同じ Windows アカウントを指定する必要があります。 選択するアカウントは、インフラストラクチャ サーバーのローカル管理者である必要があります。

      gMSA を選択するには、AD ユーザーを選択するのと同じ手順に従います。

    • vuemUser SQL ユーザーアカウントのパスワードを設定します. インフラストラクチャサービスに、 に設定されたカスタムパスワードを通知できます。 vuemユーザー データベース作成中の SQL ユーザー。 このオプションは、データベースの作成時に独自のパスワードを指定した場合にのみ有効にしてください。

    • インフラストラクチャ サービス キャッシュの更新遅延. インフラストラクチャ サービスがキャッシュを更新するまでの時間 (分単位)。 キャッシュは、インフラストラクチャ サービスが SQL に接続できない場合に使用されます。

    • インフラストラクチャ サービスの SQL 状態モニタの遅延. 各インフラストラクチャ サービスが SQL サーバーのポーリングを試行する間隔 (秒単位)。

    • インフラストラクチャ サービスの SQL 接続タイムアウト. インフラストラクチャ サービスが SQL サーバーとの接続を確立しようとするときに、試行を終了してエラーを生成するまで待機する時間 (秒単位)。

    • デバッグモードを有効にします。 有効にすると、インフラストラクチャ サービスは詳細ログ モードに設定されます。

    • オンラインの場合でもキャッシュを使用する. 有効にすると、インフラストラクチャ サービスは常にキャッシュからサイト設定を読み取ります。

    • パフォーマンスチューニングを有効にする. 接続されたエージェントの数が特定のしきい値 (デフォルトでは 200) を超えるシナリオでパフォーマンスを最適化できます。 その結果、エージェントまたは管理コンソールがインフラストラクチャ サービスに接続するのにかかる時間が短縮されます。

      • ワーカースレッドの最小数. スレッド・プールがオンデマンドで作成するワーカー・スレッドの最小数を指定します。 ワーカー スレッドの数を 30 から 3000 の範囲で設定します。 接続されているエージェントの数に基づいて値を決定します。 デフォルトでは、ワーカー スレッドの最小数は 200 です。
      • 非同期 I/O スレッドの最小数. スレッド・プールがオンデマンドで作成する非同期入出力スレッドの最小数を指定します。 非同期 I/O スレッドの数を 30 から 3000 の範囲で設定します。 接続されているエージェントの数に基づいて値を決定します。 デフォルトでは、非同期 I/O スレッドの最小数は 200 です。

    重要:

    この機能は、エージェントまたは管理コンソールがインフラストラクチャサービスから断続的に切断される場合に特に便利です。

    注意:

    「パフォーマンス・チューニングの有効化」フィールドで設定した値は、新しいリクエストが行われたとき、およびスレッドの作成と破棄を管理するためのアルゴリズムに切り替える前に使用されます。 詳細については、以下を参照してください。 https://docs.microsoft.com/en-us/dotnet/api/system.threading.threadpool.setminthreads?view=netframework-4.8 そして https://support.microsoft.com/en-sg/help/2538826/wcf-service-may-scale-up-slowly-under-load.

    • Google Analyticsを使用したWorkspace Environment Managementの改善に協力する. 選択すると、インフラストラクチャ サービスは匿名分析を Google アナリティクス サーバーに送信します。

    • Google Analyticsを使用したWorkspace Environment Managementの改善に役立たない. 選択した場合、インフラストラクチャ サービスは匿名分析を Google アナリティクス サーバーに送信しません。

    重要:

    2212 以降、Workspace Environment Management は、インフラストラクチャサービスをホストしているマシンのリージョンに基づいて、選択するオプションを決定します。 マシンがヨーロッパ以外の地域にある場合は、最初のオプションが選択されます。 マシンがヨーロッパ地域にある場合は、2 番目のオプションが選択されます。 この動作は、新規インストールにのみ適用されます。

    インフラストラクチャ サービス構成の詳細設定

  5. データベース メンテナンス タブを使用して、データベース メンテナンスを設定できます。

    • スケジュールされたデータベース保守を有効にする. 有効にすると、この設定はデータベースから古い統計レコードを定期的に削除します。

    • 統計の保存期間. ユーザーとエージェントの統計を保持する期間を決定します。 デフォルトは 365 日です。

    • システム監視の保持期間. システム最適化統計が保持される期間を決定します。 デフォルトは 90 日です。

    • エージェント登録の保持期間. エージェント登録ログをデータベースに保持する期間を決定します。 デフォルトは 1 日です。

    • 実行時間. データベースの保守アクションが実行される時刻を決定します。 デフォルトは 02:00 です。

    先端

    ベスト・プラクティスとして、スケジュールされたデータベース・メンテナンスを有効にして、データベース・サイズを縮小し、最高のパフォーマンスを実現することをお薦めします。 1 つの WEM 展開に複数のインフラストラクチャサービスがある場合は、1 つのインフラストラクチャサービスに対してのみ有効にします。

    インフラストラクチャ・サービス構成データベースの保守

  6. オプションで、 ライセンス タブで、インフラストラクチャサービスの構成中にCitrixライセンスサーバーを指定します。 そうしないと、管理コンソールが新しいWorkspace Environment Management データベースに初めて接続するときに、Citrix ライセンスサーバーの資格情報を に関しては タブに移動します。 Citrixライセンスサーバーの情報は、どちらの場合もデータベース内の同じ場所に保存されます。

    • グローバル ライセンス サーバーのオーバーライド. このオプションを有効にすると、Workspace Environment Management で使用される Citrix ライセンスサーバーの名前を入力できます。 ここに入力する情報は、Workspace Environment Management データベースにすでに存在する Citrix ライセンスサーバー情報よりも優先されます。

    インフラストラクチャ サービス構成のライセンス

インフラストラクチャ サービスが満足のいくように構成されたら、 設定を保存 をクリックしてこれらの設定を保存し、インフラストラクチャ サービス設定ユーティリティを終了します。

インフラサービス