Product Documentation

安装前需执行的任务

Dec 20, 2016

安装并配置 Provisioning Services 之前,必须完成以下任务。

选择并配置 MS SQL 数据库

一个场仅与一个数据库相关联。 可以将 Provisioning Services 数据库软件安装在以下位置:

  • 现有 SQL 数据库上,如果该计算机可以与场中的所有 Provisioning Server 通信
  • 新 SQL Express 数据库计算机上,该数据库是使用 SQL Express(可从 Microsoft 免费获取)创建的 

在生产环境中,最佳做法是在单独的服务器上安装数据库和 Provisioning Server 软件,以避免负载平衡期间的分发较差。

数据库管理员可能更倾向于创建 Provisioning Services 数据库。 在此示例中,应向 MS SQL 数据库管理员提供使用 DbScript.exe 实用程序创建的文件。 此实用程序随 Provisioning Services 软件安装。

数据库的大小

有关数据库大小的信息,请参阅 https://msdn.microsoft.com/zh-cn/library/ms187445.aspx

创建数据库时,数据库的初始大小为 20 MB,增长量为 10 MB。 数据库日志的初始大小为 10 MB,增长量为 10%。

需要的基准空间量是 112 KB,该大小不会发生变化。 其中包括以下几个部分:

  • 数据库版本记录大约需要 32 KB
  • 场记录大约需要 8 KB
  • 磁盘创建记录大约需要 16 KB
  • 通知大约需要 40 KB
  • 映射的服务器记录大约需要 16 KB

根据对象,所需的可变空间量如下所示:

  • 访问权限和编组(每个)
    • 对系统具有访问权限的一个用户组大约需要 50 KB
    • 站点记录大约需要 4 KB
    • 集合大约需要 10 KB
  • 场视图(每个)
    • 场视图大约需要 4 KB
    • 场视图/设备关系大约需要 5 KB
  • 站点视图(每个)
    • 站点视图大约需要 4 KB
    • 站点视图/设备关系大约需要 5 KB
  • 目标设备(每个)
    • 一个目标设备大约需要 2 KB
    • 设备引导程序大约需要 10 KB
    • 设备:磁盘关系大约需要 35 KB
    • 设备:打印机关系大约需要 1 KB
    • 设备个性化大约需要 1 KB
    • 设备引导时的设备状态大约需要 1 KB
    • 设备自定义属性大约需要 2 KB
  • 磁盘(每个)
    • 唯一的磁盘大约需要 1 KB
    • 磁盘版本大约需要 3 KB
    • 磁盘定位器大约需要 10 KB
    • 磁盘定位器自定义属性大约需要 2 KB
  • Provisioning Server(每个)
    • 一个服务器大约需要 5 KB
    • 服务器 IP 大约需要 2 KB
    • 服务器引导时的服务器状态大约需要 1 KB
    • 服务器自定义属性大约需要 2 KB
  • 存储(每个)
    • 存储大约需要 8 KB
    • 存储:服务器关系大约需要 4 KB
  • 磁盘更新(每个)
    • 虚拟主机池大约需要 4 KB
    • 更新任务大约需要 10 KB
    • 磁盘更新设备大约需要 2 KB
    • 每个磁盘更新设备:磁盘关系大约需要 35 KB
    • 磁盘:更新任务关系大约需要 1 KB

以下更改会导致大小要求增加:

  • 每个已处理的任务(例如:虚拟磁盘版本控制合并)大约需要 2 KB
  • 如果打开了审核功能,则管理员在控制台、MCLI 或 PowerShell 界面中所做的每个更改大约需要 1 KB

数据库镜像

要使 Provisioning Services 支持 MS SQL 数据库镜像,需要为数据库配置 High-safety mode with a witness (synchronous)(带见证的高安全性模式(同步))。

如果打算使用数据库镜像功能,服务器上需要有 SQL 本机客户端。 如果尚不存在此客户端,安装 SQL 时将显示安装 SQL 本机客户端 x64 或 x86 的选项。

有关如何配置和使用数据库镜像的信息,请参阅数据库镜像

数据库群集化

要实施数据库群集化,请按照 Microsoft 的说明操作,然后运行 Provisioning Services 配置向导。 不需要任何其他步骤,因为此向导将群集视为单个 SQL Server。

配置身份验证

Provisioning Services 使用 Windows 身份验证访问数据库。 不支持 Microsoft SQL Server 身份验证,但运行配置向导时除外。

配置向导用户权限
运行配置向导的用户需要具有以下 MS SQL 权限:
  • dbcreator:用于创建数据库
  • securityadmin:用于为 Stream Service 和 SOAP Service 创建 SQL 登录。

如果在测试环境中使用 MS SQL Express,可以选择为运行配置向导的用户提供 sysadmin 权限(最高数据库权限级别)。

或者,如果数据库管理员提供了空数据库,则运行配置向导的用户必须是该数据库的所有者,并且具有查看任何定义的权限(由数据库管理员在创建空数据库时设置)。

服务帐户权限

Stream Service 和 SOAP Service 的用户上下文需要以下数据库权限:

  • db_datareader
  • db_datawriter
  • 对存储过程的执行权限

将使用配置向导为 Stream Service 和 SOAP Service 用户帐户自动配置数据读取者和数据写入者数据库角色。 如果用户具有 securityadmin 权限,配置向导将分配这些权限。 此外,服务用户还必须具有以下系统权限:

  • 以服务方式运行
  • 注册表读取权限
  • Program Files\Citrix\Provisioning Services 的访问权限
  • 对任何虚拟磁盘位置的读取和写入权限

确定 Stream Service 和 SOAP Service 在以下哪个受支持的用户帐户下运行:

  • 网络服务帐户

    最低权限本地帐户,该帐户在网络上作为计算机域的计算机帐户进行身份验证

  • 指定的用户帐户:使用 Windows 共享时需要使用此帐户;为工作组或域用户帐户

要支持 KMS 许可,Provisioning Services 要求 SOAP 服务器用户帐户属于本地管理员组。

由于身份验证在工作组环境中不公用,因此必须在每台服务器上创建最低权限用户帐户,并且每个实例必须具有相同的凭据)。

确定要在此场中使用的相应安全选项(对于每个场只能选择一个选项,所选选项将影响基于角色的管理):

  • 使用 Active Directory 组保证安全,此为默认值;如果您在运行 Active Directory 的 Windows 域中,请选择此选项。 此选项允许您对 Provisioning Services 管理角色使用 Active Directory。
    注意:不再支持 Windows 2000 域。
  • 使用 Windows 组保证安全;如果您在单个服务器上或工作组中,请选择此选项。 此选项允许您针对 Provisioning Services 管理角色在该特定服务器上使用本地用户/组。

控制台用户不直接访问数据库。

使用其他 Provisioning Services 功能需要具有的最低权限包括:

  • Provisioning Services XenDesktop 设置向导、流 VM 设置向导以及 Image Update Service
    • vCenter、SCVMM 和 XenServer 最低权限
    • 当前用户在 XenDesktop 控制器上的权限
    • 配置为 XenDesktop 管理员且已添加到 PVS SiteAdmin 组或更高级别组的 Provisioning Services 控制台用户帐户
    • 可在控制台中创建新帐户的 Active Directory 创建帐户权限。 要使用现有帐户,Active Directory 帐户必须已存在于已知组织单位中以供选择
    • 如果将个人虚拟磁盘与 XenDesktop 结合使用,SOAP 服务器用户帐户必须具有 XenDesktop 完全管理员权限。
  • AD 帐户同步:创建、重置和删除权限
  • 虚拟磁盘:执行卷维护任务的权限

Kerberos 安全性

默认情况下,在 Active Directory 环境中与 Provisioning Services SOAP Service 进行通信时,Provisioning Services 控制台、映像向导、PowerShell 管理单元和 MCLI 使用 Kerberos 身份验证。 部分 Kerberos 体系结构用于使服务注册到(创建一个服务主题名称,SPN)域控制器(Kerberos 密钥分发中心)。 必须进行注册,因为注册将允许 Active Directory 标识 Provisioning Services SOAP Service 运行时所在的帐户。 如果未执行注册,Kerberos 身份验证将失败,且 Provisioning Services 将回退至使用 NTLM 身份验证。

Provisioning Services SOAP Service 将在每次服务启动时注册,在服务器停止时取消注册。 但是,如果服务用户帐户没有权限,注册将失败。 默认情况下,网络服务帐户和域管理员具有相应的权限,而普通域用户帐户则不具有。

要解决此权限问题,请执行以下操作之一:

  • 使用有权创建 SPN 的不同帐户。
  • 将权限分配给服务帐户。
    帐户类型权限
    计算机帐户写入已验证的 SPN
    用户帐户写入公共信息