Product Documentation

使用 Director 监控环境

Oct 12, 2015

默认情况下,Director 作为 Web 站点安装在 Delivery Controller 上。有关必备条件和其他详细信息,请参阅此版本的“系统要求”主题。

此版本的 Director 与 7.5 版本之前的 XenApp 部署或 7 版本之前的 XenDesktop 部署不兼容。

当在包含多个站点的环境中使用 Director 时,请确保对安装了 Controller、Director 和其他核心组件的所有服务器上的系统时钟进行同步。否则,站点可能无法在 Director 中正确显示。

提示:如果您计划监视 XenApp 6.5 和 XenApp 7.5 或 XenDesktop 7.x 站点,Citrix 建议将 Director 与用于监视 XenApp 6.5 站点的 Director 控制台安装在不同的服务器上。
重要:要保护通过网络使用纯文本发送的用户名和密码的安全,Citrix 强烈建议您仅允许使用 HTTPS(而不是 HTTP)进行 Director 连接。某些工具可以读取 HTTP(未加密)网络数据包中的纯文本用户名和密码,这会对用户造成安全风险。

配置权限

要登录 Director,具有 Director 权限的管理员必须是 Active Directory 域用户并且必须具有以下权限:

  • 对要搜索的所有 Active Directory 林的读取权限(请参阅高级配置
  • 配置的委派管理员角色(请参阅委派管理和 Director)。
  • 要重影用户,必须使用适用于 Windows 远程协助的 Microsoft 组策略来配置管理员。此外:
    • 安装 VDA 时,确保在所有用户设备(默认处于选中状态)上启用 Windows 远程协助功能。
    • 在服务器上安装 Director 时,确保已安装 Windows 远程协助(默认处于选中状态)。但默认情况下服务器上禁用此功能。无需对 Director 启用此功能,即可为最终用户提供协助。Citrix 建议将此功能保持禁用状态,以提高服务器的安全性。
    • 要使管理员能够启动 Windows 远程协助,请使用远程协助的相应 Microsoft 组策略设置向其授予所需的权限。有关信息,请参阅 CTX127388: How to Enable Remote Assistance for Desktop Director(如何为 Desktop Director 启用远程协助)。
  • 对于安装了版本 7 之前的 VDA 的用户设备,必须执行附加配置。请参阅为版本 7 之前的 VDA 配置权限

安装 Director

使用安装程序安装 Director,该安装程序将检查必备条件,安装任何缺少的组件,设置 Director Web 站点,以及执行基本配置。安装程序提供的默认配置可处理典型部署。如果在安装期间未安装 Director,请使用安装程序添加 Director。要添加任何其他组件,请重新运行安装程序并选择要安装的组件。有关使用安装程序的信息,请参阅“安装”主题。Citrix 建议仅使用产品安装程序进行安装,而不是使用 .MSI 文件。

当 Director 安装在 Controller 上时,将自动配置 localhost 作为服务器地址,并且默认情况下,Director 将与本地 Controller 进行通信。

要在 Controller 的远程专用服务器上安装 Director,系统将提示您输入 Controller 的 FQDN 或 IP 地址。默认情况下,Director 与指定的 Controller 进行通信。仅为要监视的每个站点指定一个 Controller 地址。Director 将自动发现同一站点中的所有其他 Controller,并且如果您指定的 Controller 出现故障,则将回退到其他 Controller。

注意:Director 无法在 Controller 之间平衡负载。

要确保浏览器与 Web 服务器之间的通信安全,Citrix 建议您在托管 Director 的 IIS Web 站点上实施 SSL。有关说明,请参阅 Microsoft IIS 文档。无需对 Director 执行任何配置即可启用 SSL。

登录 Director

Director Web 站点位于 https:///Director 或 http:///Director 上。

如果多站点部署中的一个站点出现故障,在尝试连接到该故障站点时,登录 Director 所需的时间会稍长。

委派管理和 Director

委派管理基于三个概念:管理员、角色和作用域。权限基于管理员的角色以及该角色的作用域。例如,可以为管理员指派技术支持管理员角色,其作用域只包括负责一个站点上的最终用户。

有关创建委派管理员的信息,请参阅委派管理主题。

管理权限决定着向管理员呈现的 Director 界面以及他们可以执行的任务。权限决定着以下事项:
  • 用户可以访问的页面,统称为视图。
  • 管理员可以查看并与之交互的桌面、计算机和会话。
  • 管理员可以执行的命令,例如重影用户的会话或启用维护模式。

内置角色和权限还决定着管理员对 Director 的使用方式:

管理员角色 在 Director 中的权限
完全权限管理员 对所有视图具有完全访问权限,并且可以执行所有命令,包括重影用户的会话、启用维护模式和导出趋势数据。
交付组管理员 对所有视图具有完全访问权限,并且可以执行所有命令,包括重影用户的会话、启用维护模式和导出趋势数据。
只读权限管理员 可以访问所有视图并查看指定作用域中的所有对象,还可以查看全局信息。可以从 HDX 通道下载报告,并且可以使用“趋势”视图中的“导出”选项导出趋势数据。

无法执行任何其他命令或在视图中进行任何更改。

技术支持管理员 只可以访问“技术支持”和“用户详细信息”视图,并且只可以查看委派管理员进行管理的对象。可以重影用户会话并为该用户执行命令。可以执行维护模式操作。可以对桌面操作系统计算机使用电源控制选项。

无法访问控制板、“趋势”或“过滤器”视图。无法对服务器操作系统计算机使用电源控制选项。

计算机目录管理员 无访问权限。Director 不支持此管理员,因此其无法查看数据。
主机管理员 无访问权限。Director 不支持此管理员,因此其无法查看数据。
注意:可以通过委派的管理员角色和权限修改 Director 中的视图,例如删除或启用按钮。例如,如果贵组织不希望特定 Director 管理员组重影用户,请选择或自定义一个不允许重影或不允许“在计算机上执行远程协助”自定义权限的角色,然后重影按钮就不会显示在 UI 上。

配置 Director 管理员的自定义角色

在 Studio 中,还可以配置 Director 特定的自定义角色,以更好地满足组织的需求,并且更灵活地委派权限。例如,您可以限制内置的技术支持管理员角色,使该管理员无法从会话注销。

如果通过 Director 权限创建一个自定义角色,还必须向该角色分配其他通用权限:
  • 用于登录 Director 的 Delivery Controller 权限。
  • 用于查看与 Director 中的交付组相关的数据的交付组权限。

此外,还可以通过复制现有角色创建自定义角色,并包括不同视图的附加权限。例如,可以复制技术支持角色并包括用于查看“控制板”或“过滤器”视图的权限。

为自定义角色选择 Director 权限,包括:

  • 在计算机上执行终止应用程序的操作
  • 在计算机上执行终止进程的操作
  • 在计算机上执行远程协助
  • 执行重置虚拟磁盘操作
  • 重置用户配置文件
  • 查看“控制板”页
  • 查看“技术支持”页
  • 查看主机连接状态和警报
  • 查看“切片和切块”页(“过滤器”视图)
  • 查看趋势
  • 查看“用户详细信息”页

另外,从其他组件的权限列表中,考虑选择以下权限:

  • 从 Profile Management:读取配置文件定义
  • 从交付组:
    • 使用交付组成员身份启用/禁用计算机的维护模式
    • 使用交付组成员身份在 Windows 桌面计算机上执行电源操作
    • 使用交付组成员身份在计算机上执行会话管理
    • 查看交付组

配置 HDX Insight

注意:此功能的可用性取决于组织的许可证和管理员权限。

HDX Insight 将 EdgeSight 网络分析和 EdgeSight Performance Management 与 Director 相集成:

  • EdgeSight 网络分析利用 HDX Insight 来提供应用程序和桌面的网络上下文视图。使用此功能,Director 可对其部署中的 ICA 通信进行高级分析。
  • EdgeSight Performance Management 可提供历史保留和趋势报告。通过历史数据保留与实时评估,可以创建趋势报告,其中包括容量趋势和运行状况趋势。

在 Director 中启用此功能后,HDX Insight 可为 Director 提供更多信息:

  • 趋势页可以显示对整个部署的应用程序、桌面和用户的延迟和带宽影响。
  • 用户详细信息页可以显示特定于某个特殊用户会话的延迟和带宽信息。

限制

  • ICA 会话的往返程时间 (RTT) 可正确显示 Receiver for Windows 3.4 或更高版本以及 Receiver for Mac 11.8 或更高版本的数据。对于早期版本的 Receiver,数据无法正确显示。
  • 在“趋势”视图中,不会针对早于版本 7 的 VDA 收集 HDX 连接登录数据。对于更早版本的 VDA,图表数据将显示为 0。

在 Director 上配置 EdgeSight 网络分析功能

EdgeSight 可通过利用 NetScaler HDX Insight 提供网络分析功能,以向 Citrix 应用程序和桌面的管理员提供对可能导致网络性能不佳的问题进行故障排除和关联的功能。

必须在 Director 中安装并配置 NetScaler Insight Center,才能启用 EdgeSight 网络分析。Insight Center 是一种虚拟机(设备),可从 Citrix.com 下载。通过使用 EdgeSight 网络分析,Director 可以传送和收集与部署相关的信息。这些信息可在 HDX Insight 中进行利用,这让 HDX Insight 可以对客户端和后端 Citrix 基础结构之间的 Citrix ICA 协议进行可靠分析。
  1. 在安装 Director 的服务器上,在 C:\inetpub\wwwroot\Director\tools 中找到 DirectorConfig 命令行工具,并在命令行提示窗口中使用参数 /confignetscaler 运行该工具。
  2. 系统弹出提示时,请按提示配置 NetScaler Insight Center 计算机名称(FQDN 或 IP 地址)、用户名、密码和 HTTP 或 HTTPS 连接类型。
  3. 要验证更改,请先注销,然后再重新登录。

为 XenDesktop 7 之前版本的 VDA 配置权限

如果用户在其设备上安装了 XenDesktop 7 之前的 VDA 版本,Director 会通过 Windows 远程管理 (WinRM) 从部署中补充有关实时状态和指标的信息。

此外,使用此过程配置 WinRM,使其能与 XenDesktop 5.6 Feature Pack1 中的 Remote PC 兼容使用。

默认情况下,只有桌面计算机的本地管理员(通常为域管理员及其他特权用户)才具有查看实时数据所需的权限。

有关安装并配置 WinRM 的信息,请参阅 CTX125243

要使其他用户能够查看实时数据,必须向其授予相应权限。例如,假定有多个 Director 用户(HelpDeskUserA、HelpDeskUserB 等等)同属于名为 HelpDeskUsers 的 Active Directory 安全组。已在 Studio 中为该组指定了技术支持管理员角色,从而为这些用户提供了必需的 Delivery Controller 权限。但该组还需要具有从桌面计算机访问实时数据所需的权限。

要提供所需的访问权限,可以通过以下两种方式之一配置必需的权限:
  • 向 Director 用户授予权限(模拟模式)
  • 向 Director 服务授予权限(可信子系统模式)

向 Director 用户授予权限(模拟模式)

默认情况下,Director 使用模拟模式:WinRM 与桌面计算机之间通过 Director 用户身份进行连接。因此,Desktop Director 用户必须在该台式机上具有相应的权限。

可以通过以下两种方式(本主题稍后会介绍)之一配置这些权限:

  1. 将用户添加到桌面计算机的本地管理员组中。
  2. 向用户授予 Director 所需的特定权限。此选项避免了授予 Director 用户(例如,HelpDeskUsers 组)计算机上的完全管理权限。

向 Director 服务授予权限(可信子系统模式)

可以对 Director 进行配置,使 WinRM 连接使用服务标识,并仅向该服务标识授予相应的权限,而无需向 Director 用户授予对桌面计算机的相应权限。

在此模式下,Director 用户本身将无权执行 WinRM 调用。他们可以使用 Director 访问数据。

IIS 中的 Director 应用程序池配置为以服务标识方式运行。默认情况下,这是 APPPOOL\DesktopDirector 虚拟帐户。执行远程连接时,此帐户将显示为服务器的 Active Directory 计算机帐户,例如 MyDomain\DirectorServer$。必须将此帐户配置为具有相应权限。

如果部署了多个 Director Web 站点,则必须将每个 Web 服务器的计算机帐户都置于配置了相应权限的 Active Directory 安全组中。

要将 Director 设置为使用 WinRM 的服务标识而非用户身份,请按高级配置中所述配置以下设置:

Service.Connector.WinRM.Identity = Service

可以通过以下两种方式之一配置这些权限:

  1. 将服务帐户添加到桌面计算机上的本地管理员组中。
  2. 向服务帐户授予 Director 所需的特定权限(如下文介绍)。此选项可避免向服务帐户授予计算机的完全管理权限。

向特定用户或用户组分配权限

要使 Director 能够通过 WinRM 从桌面计算机访问所需的信息,需要具有以下权限:

  • WinRM RootSDDL 中的读取和执行权限
  • WMI 命名空间权限:
    • root/cimv2 – 远程访问权限
    • root/citrix – 远程访问权限
    • root/RSOP – 远程访问权限和执行权限
  • 这些本地组的成员关系:
    • 性能监视用户
    • 事件日志读者

用于自动授予上述权限的 ConfigRemoteMgmt.exe 工具分别位于 x86\Virtual Desktop Agent 文件夹和 x64\Virtual Desktop Agent 文件夹中的安装介质上以及 tools 文件夹中的安装介质上。必须向所有 Director 用户授予上述权限。

要向 Active Directory 安全组、用户或计算机帐户授予上述权限,请以具有管理权限的用户身份,在命令提示窗口中使用以下参数运行该工具。

ConfigRemoteMgmt.exe /configwinrmuser domain\name

其中 name 为安全组、用户或计算机帐户。

例如,要向某个用户安全组授予所需的权限,请执行以下操作:

ConfigRemoteMgmt.exe /configwinrmuser MyDomain\HelpDeskUsers

或者,要向某个特定计算机帐户授予相应权限,请执行以下操作:

ConfigRemoteMgmt.exe /configwinrmuser MyDomain\DirectorServer$

高级配置

某些高级 Director 配置(例如,支持多个站点或多个 Active Directory 林)通过 Internet Information Services (IIS) 管理器中的设置进行控制。
重要:如果更改了 IIS 中的某项设置,Director 服务会自动重新启动并注销用户。

使用 IIS 配置高级设置:

  1. 打开 Internet Information Services (IIS) 管理器模块。
  2. 转到默认 Web 站点下的 Director Web 站点。
  3. 双击应用程序设置
  4. 双击某个设置以对其进行编辑。

支持跨多个 Active Directory 域和林的用户

Director 使用 Active Directory 搜索用户并查找其他用户和计算机信息。默认情况下,Director 搜索:
  • 管理员帐户所属的域或林。
  • Director Web 服务器所属的域或林(如果不相同)。

Director 将尝试使用 Active Directory 全局目录在林级别执行搜索。如果管理员没有相应的权限,无法在林级别执行搜索,则仅搜索域。

要搜索或查询其他 Active Directory 域或林中的数据,必须明确设置要搜索的域或林。配置以下设置:
Connector.ActiveDirectory.Domains = (user),(server)

值属性 user 和 server 分别代表 Director 用户(管理员)的域和 Director 服务器的域。

要使用户能够从其他域或林中进行搜索,请将该域的名称添加到列表中,如下例中所示:

Connector.ActiveDirectory.Domains = (user),(server),ENDUSERDOMAIN

对于列表中的每个域,Director 将尝试在林级别执行搜索。如果管理员没有相应的权限,无法在林级别执行搜索,则仅搜索域。

向 Director 中添加站点

如果已安装 Director,可将其配置为使用多个站点。要执行此操作,请在每个 Director 服务器上使用 IIS 管理器控制台来更新应用程序设置中服务器地址的列表。

将每个站点中的 Controller 地址添加到以下设置中:
Service.AutoDiscoveryAddresses = SiteAController,SiteBController

其中 SiteAController 和 SiteBController 为两个不同站点中的 Delivery Controller 地址。

在活动管理器中禁止显示运行中的应用程序

默认情况下,Director 中的活动管理器将显示所有运行中应用程序的列表以及用户会话标题栏中任何已打开应用程序的 Windows 说明。对 Director 中的活动管理器功能具有访问权限的所有管理员均可以查看此信息。对于委派管理员角色,完全权限管理员、交付组管理员和技术支持管理员均可以查看此信息。

为保护用户及其正在运行的应用程序的隐私,您可以禁止“应用程序”选项卡列出正在运行的应用程序。

警告:注册表编辑不当会导致严重问题,可能导致需要重新安装操作系统。Citrix 无法保证因“注册表编辑器”使用不当导致出现的问题能够得以解决。使用“注册表编辑器”需自担风险。在编辑注册表之前,请务必进行备份。
  1. 在 VDA 上,修改位于 HKLM\Software\Citrix\Director\TaskManagerDataDisplayed 的注册表项。默认情况下,该注册表项设置为 1。将值更改为 0,这表示在活动管理器中将不显示信息。
  2. 在安装了 Director 的服务器上,修改用于控制正在运行的应用程序可见性的设置。默认情况下,该值为 true,表示允许应用程序选项卡显示正在运行的应用程序。将该值更改为 false,表示禁用其可见性。此选项仅影响 Director 中的活动管理器,不影响 VDA。
    修改以下设置的值:
    UI.TaskManager.EnableApplications = false
重要:要禁止查看运行中的应用程序,Citrix 建议进行上述两项更改,以确保在活动管理器中不显示这些数据。