Workspace Environment Management

インフラストラクチャサービス

Windowsインフラストラクチャサービスには1つあります。 Norskale Infrastructure Service (NT Sサービス\ Norskale Infrastructure Service)。Workspace Environment Management (WEM) インフラストラクチャサービスを管理します。アカウント:LocalSystem またはインフラストラクチャサービスが実行されるインフラストラクチャサーバー上の管理者ユーザーグループに属する指定されたユーザーアカウント。

インフラストラクチャサービスのインストール

重要:

  • インフラストラクチャサービスは、ドメイン Controller にインストールできません。Kerberos 認証の問題により、このシナリオではインフラストラクチャサービスが機能しなくなります。
  • Delivery Controller がインストールされているサーバーにはインフラストラクチャサービスをインストールしないでください。

使用状況データ収集に関する通知:

  • デフォルトでは、インフラストラクチャサービスは、毎晩WEM使用に関する匿名の分析を収集し、HTTPSを介してすぐにGoogle Analytics サーバーに送信します。Analyticsコレクションは、 Citrix プライバシーポリシーに準拠しています。
  • データコレクションは、インフラストラクチャサービスをインストールまたはアップグレードするときにデフォルトで有効になります。オプトアウトするには、[WEM インフラストラクチャサービスの構成] ダイアログボックスの [ 詳細設定 ] タブで、[Google Analytics を使用したWorkspace Environment Management 改善に役立た ない] オプションを選択します。

インフラストラクチャサービスをインストールするには、インフラストラクチャサーバー** 上で **Citrix Workspace 環境管理インフラストラクチャサービスSetup.exeを実行します。「完全」セットアップオプションは、既定で PowerShell SDK モジュールをインストールします。「カスタム」設定オプションを使用すると、SDK のインストールを禁止したり、インストールフォルダを変更したりできます。既定では、インフラストラクチャサービスは C:\ Program Files (x86)\ Norskale\ Norskale インフラストラクチャサービスフォルダにインストールされます。デフォルトでは、PowerShell SDK モジュールは次のフォルダにインストールされます。C:\ プログラムファイル (x86)\ Norskale\ Norskale インフラストラクチャサービス\ SDK。SDKのドキュメントについては、 Citrix Developer ドキュメントを参照してください

次の引数を使用して、インストールをカスタマイズできます。

AgentPort:インフラストラクチャサービスのセットアップは、ファイアウォールポートをローカルで開くスクリプトを実行して、エージェントのネットワークトラフィックがブロックされないようにします。agentPort 引数を使用すると、開くポートを設定できます。デフォルトのポートは 8286 です。有効なポートは受け入れられた値です。

AgentSyncPort:インフラストラクチャサービスのセットアップは、ファイアウォールポートをローカルで開くスクリプトを実行して、エージェントのネットワークトラフィックがブロックされないようにします。agentSyncPort 引数を使用すると、開くポートを設定できます。デフォルトのポートは 8285 です。有効なポートは受け入れられた値です。

AdminPort: インフラストラクチャサービスのセットアップでは、ファイアウォールポートをローカルで開くスクリプトが実行され、エージェントのネットワークトラフィックがブロックされないようにします。adminPort 引数を使用すると、開くポートを設定できます。デフォルトのポートは 8284 です。有効なポートは受け入れられた値です。

これらのインストール引数の構文は次のとおりです。

「パス:\\ to\\ Citrix Workspace 環境管理インフラストラクチャサービスSetup.exe」/v「引数1=\\" 値1\\」引数2=\\ "値2\\"」」

サービスプリンシパル名の作成

重要:

  • 同じフォレストに存在する個別のドメインに対して、複数のサービスプリンシパル名 (SPN) を作成しないでください。環境内のすべてのインフラストラクチャサービスは、同じサービスアカウントを使用して実行する必要があります。
  • 負荷分散を使用する場合は、インフラストラクチャサービスのすべてのインスタンスをインストールし、同じサービスアカウント名を使用して構成する必要があります。
  • Windows 認証 は、AD を使用する SQL インスタンスの特定の認証方法です。もう 1 つのオプションは、代わりに SQL アカウントを使用することです。

インストーラーが完了したら、インフラストラクチャサービスの SPN を作成します。WEM では、エージェント、インフラストラクチャサービス、ドメイン Controller 間の接続と通信は Kerberos によって認証されます。SPN は、サービスインスタンスをサービスログオンアカウントに関連付けるために Kerberos 認証によって使用されます。関係は、インフラストラクチャサービスインスタンスのログオンアカウントと SPN に登録されたアカウント間で構成する必要があります。したがって、Kerberos 認証要件に準拠するには、環境に適したコマンドを使用して、既知の AD アカウントに関連付けるように WEM SPN を構成します。

  • Windows 認証または負荷分散を使用しない場合は、次のコマンドを使用します。
    • setspn-C-S ノルケール/ブローカーサービスの [ホスト名]

    ここで[* 、 *]hostname はインフラストラクチャサーバの名前です。

  • Windows 認証または負荷分散を使用する場合 (Windows 認証が必要):
    • setspn-U-S ノルケール/ブローカーサービス [アカウント名]

    ここで、 [accountname] は、Windows 認証に使用されているサービスアカウントの名前です。

SPN では、大文字と小文字が区別されます。

グループマネージドサービスアカウント

WEM 用のグループマネージドサービスアカウント (gMSA) ソリューションを実装できます。gMSA ソリューションでは、新しい gMSA プリンシパルのサービスを構成でき、パスワード管理は Windows で処理されます。詳しくは、「https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview」を参照してください。GMSA をサービスプリンシパルとして使用する場合、Windows オペレーティングシステムは、管理者によって管理されるのではなく、アカウントのパスワードを管理します。これにより、後でアカウントのパスワードを変更する場合、インフラストラクチャサービス用に構成した Windows アカウントの偽装設定を変更する必要がなくなります。WEM 用の gMSA ソリューションを実装するには、次の手順を実行します。

  1. ドメイン Controller で、gMSA を作成します。gMSA の作成の詳細については、https://docs.microsoft.com/en-us/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accountsを参照してください。

  2. Citrix WEM SPNをアカウントにバインドします。WEM SPN の詳細については、「サービスプリンシパル名 を作成する」を参照してください

  3. SQL Server の設定を構成して、アカウントがデータベースにアクセスできるようにします。
    1. プライマリ SQL Server で、[ セキュリティ] > [ログイン] に移動し、[ ログイン] を右クリックし、[ 新しいログイン] を選択します
    2. [ ログイン-新規] ウィンドウで、[ 検索] をクリックします
    3. [ ユーザーまたはグループの選択] ウィンドウで、次のように設定を行い、[ OK ] をクリックしてウィンドウを終了します。
      • [ オブジェクトタイプ]。[ サービスアカウント] のみを選択します
      • 所在地。「 管理サービス・アカウント」を選択します
      • オブジェクト名。手順 1 で作成したアカウント名を入力します。
    4. [ User Mapping] ページで、gMSA を適用するデータベースを選択し、データベースのロールメンバーシップ** として **db-owner を選択します。
    5. [ ステータス] ページで、[ 許可] オプション と** [ **有効] オプションが選択されていることを確認します。
    6. [ OK ] をクリックして、[ ログイン-新規] ウィンドウを終了します。
  4. 追加したサービスアカウントを使用して、Norskale インフラストラクチャサービスを開始します。
    1. インフラストラクチャサーバーで、Windows サービスマネージャーを開き、Norskale インフラストラクチャサービスを右クリックし、[ プロパティ] を選択します
    2. [ ログオン] ページで、[ このアカウント] を選択し、[ 参照] をクリックして、手順 3 の 3 番目のサブステップの説明に従って設定を構成します。
    3. [ OK ] をクリックして、[ Norskale インフラストラクチャサービスのプロパティ] ウィンドウを閉じます。
    4. Windows サービスマネージャーで、Norskale インフラストラクチャサービスを再起動します。

負荷分散の構成

ヒント:

Citrix ADC による 負荷分散」 の記事では、WEM管理コンソールとWEMエージェントからの着信要求を負荷分散するようにCitrix ADCアプライアンスを構成する方法について詳しく説明しています。

ロードバランシングサービスを使用して WEM を設定するには、次の手順を実行します。

  1. WEM データベースに接続する WEM インフラストラクチャサービスの Windows インフラストラクチャサービスアカウントを作成します。

  2. WEM データベースを作成するときに、[インフラストラクチャサービスデータベース接続に Windows 認証 を使用する] オプションを選択し、インフラストラクチャサービスアカウント名を指定します。詳細は、「Workspace Environment Management データベース を作成する」を参照してください

  3. SQL 認証ではなく Windows 認証を使用して SQL データベースに接続するように各インフラストラクチャサービスを構成します。[Windows アカウントの偽装 を有効にする] オプションを選択し、インフラストラクチャサービスアカウントの資格情報を指定します。詳細については、「インフラストラクチャサービスを 構成する」を参照してください

  4. インフラストラクチャサービスアカウント名を使用するように、WEM インフラストラクチャサービスの SPN を構成します。詳細については、「サービスプリンシパル名 を作成する」を参照してください

    重要:

    • 負荷分散の使用を最適化するために SPN を作成することをお勧めしますが、SPN は負荷分散を使用するための前提条件ではありません。
    • WEM 環境を展開する前に、サービスアカウントまたはマシンアカウントのどちらを使用するかを決定します。WEM 環境が既に展開されると、元に戻すことはできません。たとえば、すでにマシンアカウントを使用した後で着信要求を負荷分散する場合は、サービスアカウントの代わりにマシンアカウントを使用する必要があります。
  5. VIP の背後に配置するインフラストラクチャサーバーの数をカバーする仮想 IP アドレス (VIP) を作成します。エージェントが VIP に接続すると、VIP によってカバーされるすべてのインフラストラクチャサーバーが対象となります。

  6. エージェントホスト構成 GPO を構成する場合は、インフラストラクチャサーバの設定を個々のインフラストラクチャサーバのアドレスではなく VIP に設定します。詳細については、「エージェント のインストールと構成」を参照してください

  7. セッション永続性は、管理コンソールとインフラストラクチャサービス間の接続に必要です。(エージェントとインフラストラクチャサービス間のセッションの永続性は必要ありません)。VIP を使用するのではなく、各管理コンソールをインフラストラクチャサービスサーバーに直接接続することをお勧めします。

Workspace Environment Management データベースの作成

ヒント:

また、WEM PowerShell SDK モジュールを使用してデータベースを作成することもできます。SDKのドキュメントについては、 Citrix Developer ドキュメントを参照してください

注:

  • SQL Server で Windows 認証を使用している場合は、sysadmin 権限を持つ ID でデータベース作成ユーティリティを実行します。
  • WEMデータベースのプライマリファイル(.mdfファイル)をデフォルトサイズ50 MBに設定することをお勧めします。

WEM データベース管理ユーティリティ を使用して、データベースを作成します。これは、インフラストラクチャサービスのインストールプロセス中にインストールされ、直後に開始されます。

  1. データベース管理ユーティリティがまだ開いていない場合は、[ スタート ] メニューから [ Citrix] > [ワークスペース環境管理] > [WEM データベース管理ユーティリティ] を選択します

    WEM データベース管理ユーティリティ

  2. [データベースの 作成] をクリックし、[ 次へ] をクリックします

    WEMデータベース情報

  3. 次のデータベース情報を入力し、[ 次へ] をクリックします

    • サーバーとインスタンス名。データベースをホストする SQL Server のアドレス。このアドレスは、インフラストラクチャサーバーから入力されたとおりに到達可能である必要があります。サーバー名とインスタンス名をマシン名、完全修飾ドメイン名、または IP アドレスとして入力します。サーバーアドレス、ポート\ インスタンス名として完全なインスタンスアドレスを指定します。port が指定されていない場合は、デフォルトの SQL ポート番号 (1433) が使用されます。

    • データベース名。作成するSQLデータベースの名前。

    注:

    データベース名には、ハイフン (-) やダッシュ (/) などの特殊文字は使用できません。

    • データファイル: SQL Server 上の .mdf ファイルの場所へのパス。

    • ログファイル: SQL Server 上の .ldf ファイルの場所へのパス。

    注:

    データベース管理ユーティリティは、データファイルとログファイルの既定の場所を SQL Server に照会できません。MS SQL Server の既定のインストールでは、既定値は既定値です。これらの 2 つのフィールドの値が MS SQL Server のインストールに適していることを確認してください。正しくないと、データベース作成プロセスが失敗します。

    WEM データベースサーバのクレデンシャル

  4. ウィザードでデータベースを作成するために使用できるデータベースサーバー資格情報を指定し、「 次へ」をクリックします。これらの資格情報は、インフラストラクチャサービスがデータベースの作成後にデータベースに接続するために使用する資格情報とは独立しています。これらは保存されません。

    デフォルトでは、[統合接続 を使用] オプション が選択されています。これにより、ウィザードは、SQL に接続してデータベースを作成するために、実行されている ID の Windows アカウントを使用できます。この Windows アカウントにデータベースを作成するための十分な権限がない場合は、データベース管理ユーティリティを十分な権限を持つ Windows アカウントとして実行するか、このオプションをオフにして十分な権限を持つ SQL アカウントを指定することができます。

    WEM データベースセキュリティ

  5. VUEM 管理者とデータベースセキュリティの詳細を入力し、[ 次へ] をクリックします。ここで指定した資格情報は、データベースの作成後にインフラストラクチャサービスによってデータベースに接続するために使用されます。これらはデータベースに格納されます。

    • 初期管理者グループ。このユーザーグループは、管理コンソールの完全アクセス管理者として事前構成されています。Workspace Environment Management 管理者として構成されたユーザーのみが、管理コンソールを使用できます。有効なユーザーグループを指定しないと、管理コンソールを自分で使用できなくなります。

    • インフラストラクチャサービスデータベース接続に Windows 認証を使用します。このオプションがオフ (デフォルト) の場合、データベースはインフラストラクチャサービスが VUEMUser SQL ユーザーアカウントを使用してそのサービスに接続することを想定します。VUEMUser SQL ユーザーアカウントは、インストールプロセスによって作成されます。これには、SQL インスタンスで混合モード認証を有効にする必要があります。

    このオプションを選択すると、データベースはインフラストラクチャサービスが Windows アカウントを使用して接続することを想定します。この場合、選択する Windows アカウントには、SQL インスタンスへのログインがまだ行われていない必要があります。つまり、データベースの作成に使用したのと同じ Windows アカウントを使用してインフラストラクチャサービスを実行することはできません。

    • VUEMUser SQL ユーザーアカウントのパスワードを設定します。デフォルトでは、VuemUser SQL アカウントは、大文字と小文字、数字、および句読点を使用する 8 文字のパスワードで作成されます。独自の VUEMUser SQL アカウントパスワードを入力する場合は、このオプションを選択します (たとえば、SQL ポリシーでより複雑なパスワードが必要な場合)。

    重要:

  6. サマリーペインで、選択した設定を確認し、問題がなければ [ Create Database] をクリックします

  7. データベースの作成が正常に完了したことが通知されたら、[ 完了 ] をクリックしてウィザードを終了します。

    データベースの作成中にエラーが発生した場合は、インフラストラクチャサービスのインストールディレクトリにあるログファイル「Citrix WEM Database Management Utility Debug Log.log」を確認します。

インフラストラクチャサービスを構成する

ヒント:

Workspace Environment Management PowerShell SDK モジュールを使用して、インフラストラクチャサービスを構成することもできます。SDKのドキュメントについては、 Citrix Developer ドキュメントを参照してください

インフラストラクチャサービスを実行する前に、ここで説明するように、 WEM インフラストラクチャサービス構成 ユーティリティを使用して構成する必要があります。

  1. [ スタート] メニューから、[ Citrix] > [ワークスペース環境管理] > [WEM インフラストラクチャサービス構成ユーティリティ] を選択します

    インフラストラクチャサービス構成データベース設定

  2. [ データベース設定 ] タブで、次の詳細を入力します。

    • データベースサーバーとインスタンス。Workspace Environment Management データベースがホストされている SQL Server インスタンスのアドレス。これは、インフラストラクチャサーバーから入力されたとおりに到達可能である必要があります。完全なインスタンス・アドレスを「サーバー・アドレス、ポート\ インスタンス名」として指定します。port が指定されていない場合は、デフォルトの SQL ポート番号 (1433) が使用されます。

    • データベース・フェイルオーバー・サーバおよびインスタンス。データベースミラーリングを使用している場合は、ここでフェイルオーバーサーバのアドレスを指定します。

    • データベース名。SQLインスタンス上のWorkspace Environment Management データベースの名前。

    インフラストラクチャサービス構成のネットワーク設定

  3. [ ネットワーク設定 ] タブで、インフラストラクチャサービスが使用するポートを入力します。

    • 管理ポート。このポートは、管理コンソールがインフラストラクチャサービスに接続するために使用されます。

    • エージェントサービスポート。このポートは、エージェントホストがインフラストラクチャサービスに接続するために使用されます。

    • キャッシュ同期ポート。このポートは、エージェントサービスがそのキャッシュをインフラストラクチャサービスと同期させるために使用されます。

    • WEM モニタリングポート。[現在使用されていません。]

    インフラストラクチャサービスの構成の詳細設定

  4. [ 詳細設定 ] タブで、偽装設定および自動更新設定を入力します。

    • Windows アカウントの偽装を有効にします。デフォルトでは、このオプションはオフになっており、インフラストラクチャサービスは混合モード認証を使用してデータベースに接続します (データベース作成時に* 作成された SQL アカウント *VuemUser を使用)。データベース作成中に Windows インフラストラクチャサービスアカウントを選択した場合は、このオプションを選択し、接続中にインフラストラクチャサービスに対して同じ Windows アカウントを指定する必要があります。選択するアカウントは、インフラストラクチャサーバーのローカル管理者である必要があります。

    • VUEMUser SQL ユーザーアカウントのパスワードを設定します。データベース作成時に VUEMUser SQL ユーザーに設定されたカスタムパスワードを、インフラストラクチャサービスに通知できます。このオプションは、データベース作成時に独自のパスワードを指定した場合のみ有効にします。

    • インフラストラクチャサービスキャッシュの更新遅延。インフラストラクチャサービスがキャッシュを更新するまでの時間 (分単位)。キャッシュは、インフラストラクチャサービスが SQL に接続できない場合に使用されます。

    • インフラストラクチャサービスの SQL 状態モニタの遅延。各インフラストラクチャサービスが SQL Server をポーリングするまでの時間 (秒単位)。

    • インフラストラクチャサービスの SQL 接続のタイムアウトです。インフラストラクチャサービスが SQL サーバーとの接続を確立しようとしたときに、試行を終了してエラーを生成するまで待機する時間 (秒単位)。

    • デバッグモードをイネーブルにします。有効にすると、インフラストラクチャサービスは冗長ログモードに設定されます。

    • オンラインでもキャッシュを使用します。有効にすると、インフラストラクチャサービスは常にキャッシュからサイト設定を読み取ります。

    • パフォーマンス・チューニングを有効にします。接続されたエージェントの数が一定のしきい値(デフォルトでは200)を超えるシナリオのパフォーマンスを最適化できます。その結果、エージェントまたは管理コンソールがインフラストラクチャサービスに接続するのに要する時間が短くなります。

      • ワーカースレッドの最小数。スレッドプールがオンデマンドで作成するワーカースレッドの最小数を指定します。ワーカースレッドの数を 30-3000 の範囲で設定します。接続されているエージェントの数に基づいて値を決定します。デフォルトでは、ワーカースレッドの最小数は 200 です。
      • 非同期I/Oスレッドの最小数。スレッドプールがオンデマンドで作成する非同期 I/O スレッドの最小数を指定します。非同期 I/O スレッドの数を 30 ~ 3000 の範囲で設定します。接続されているエージェントの数に基づいて値を決定します。デフォルトでは、非同期 I/O スレッドの最小数は 200 です。

    重要:

    この機能は、エージェントまたは管理コンソールがインフラストラクチャサービスから断続的に切断する場合に特に便利です。

    注:

    [パフォーマンスチューニングを有効にする] フィールドで設定した値は、新しい要求が行われたとき、およびスレッドの作成と破棄を管理するアルゴリズムに切り替える前に使用されます。詳しくは、「https://docs.microsoft.com/en-us/dotnet/api/system.threading.threadpool.setminthreads?view=netframework-4.8」および「https://support.microsoft.com/en-sg/help/2538826/wcf-service-may-scale-up-slowly-under-load」を参照してください。

    • Google Analytics を使用して、Workspace Environment Management 改善を支援します。選択すると、 インフラストラクチャサービスはGoogle Analyticsサーバーに匿名のアナリティクスを送信します。

    • Google Analytics を使用したWorkspace Environment Management 改善には役立ちません。選択した場合、 インフラストラクチャサービスはGoogle Analyticsサーバーに匿名のアナリティクスを送信しません。

    インフラストラクチャサービス構成データベースのメンテナンス

  5. [ データベースのメンテナンス ] タブを使用して、データベースのメンテナンスを構成できます。

    • スケジュールされたデータベースのメンテナンスを有効にします。この設定を有効にすると、古い統計レコードを定期的にデータベースから削除します。

    • 統計情報の保持期間。ユーザおよびエージェントの統計情報を保持する期間を決定します。デフォルトは 365 日です。

    • システム監視の保存期間。システム最適化統計情報を保持する期間を決定します。デフォルトは 90 日です。

    • エージェント登録の保持期間。エージェント登録ログがデータベースに保持される期間を決定します。デフォルトは 1 日です。

    • 実行時間。データベースの保守アクションが実行される時刻を決定します。デフォルトは 02:00 です。

    インフラストラクチャサービス構成ライセンス

  6. 必要に応じて、[ ライセンス] タブを使用して、インフラストラクチャサービスの構成時にCitrix ライセンスサーバーを指定できます。管理コンソールが新しいWorkspace環境管理データベースに初めて接続する場合は、管理コンソールのリボンの[ バージョン情報] タブにCitrix ライセンスサーバーの資格情報を入力する必要があります。どちらの場合も、Citrix ライセンスサーバーの情報はデータベースの同じ場所に保存されます。

    • グローバルライセンスサーバのオーバーライド。Workspace Environment Management で使用するCitrix ライセンスサーバーの名前を入力するには、このオプションを有効にします。ここで入力した情報は、Workspace Environment Management データベースにあるCitrix ライセンスサーバーの情報よりも優先されます。

インフラストラクチャサービスが適切に構成されたら、[構成の ** 保存] をクリックしてこれらの設定を保存し、インフラストラクチャサービス構成ユーティリティを終了します。