Documentation produit
Citrix Provisioning
Current Release 2303 2212 2209 2206 2203 LTSR 2112 2109 2106 1912 LTSR 7.15
Voir PDF

Tâches de pré-installation

June 13, 2023
Contributeur:
C

Effectuez les tâches suivantes avant l’installation et la configuration de Citrix Provisioning.

Important :

Assurez-vous que toutes les mises à jour Windows sont à jour avant d’installer les composants Citrix Provisioning. Citrix vous recommande de redémarrer après l’installation de toutes les mises à jour Windows.

Sélection et configuration de la base de données Microsoft SQL

Chaque batterie Citrix Provisioning possède une seule base de données. Vous pouvez fournir la base de données sur :

  • Une instance SQL Server ou SQL Server Express existante
  • Un nouveau serveur exécutant SQL Server ou SQL Server Express
  • Un serveur Azure SQL Database nouveau ou existant

Tous les serveurs Citrix Provisioning d’une batterie de serveurs doivent pouvoir communiquer avec le serveur de base de données.

Dans un environnement de production, afin d’éviter une répartition déséquilibrée durant l’équilibrage de charge, il est recommandé d’installer l’instance SQL Server ou SQL Server Express et le logiciel du serveur Citrix Provisioning sur des serveurs distincts.

Il existe trois façons de créer la base de données :

  • Utilisez l’assistant de configuration. Pour utiliser cette option, vous avez besoin de l’autorisationdbcreator
  • Si vous n’avez pas l’autorisation de créer des bases de données, utilisez l’utilitaireDbScript.exepour créer un script SQL qu’un administrateur de base de données peut exécuter pour créer la base de données de provisioning. Cet outil est installé avec le logiciel Provisioning.
  • Si l’administrateur de base de données crée une base de données vide en exécutant l’utilitaire DbScript.exe, cette base de données est choisie comme base de données pour la nouvelle batterie de serveurs lors de l’exécution de l’assistant de configuration. La connexion utilisée lors de l’exécution de l’assistant de configuration doit être le propriétaire de la base de données. En outre, cette connexion doit disposer de l’autorisationView any definition。L 'administrateur de la基础数据definit cette autorisation lors de la création de la base de données vide.

Exécuter l’utilitaire DbScript.exe pour créer ou mettre à jour la base de données

Si vous n’avez pas l’autorisation de créer des bases de données, utilisezDbScript.exepour générer un script SQL que l’administrateur de base de données exécute pour créer ou mettre à jour la base de données Citrix Provisioning. Exécutez le script à partir de l’invite de commande Windows dansC:\Program Files\Citrix\Provisioning Services

Pour générer le script de création de la base de données, utilisez la syntaxe suivante :

  • Pour SQL Server et SQL Server Express :DbScript.exe -new
  • Pour Azure SQL Database :DbScript.exe -newForAzSqlDb

Lors de la création d’une nouvelle base de données pour Azure SQL Database, DbScript produit deux fichiers de script au lieu d’un.

  • Le premier est exécuté dans la base de données principale et crée la nouvelle base de données.
  • Le second script est ensuite exécuté dans la nouvelle base de données.

Pour générer le script de mise à jour de la base de données, entrez :

DbScript.exe -upgrade

Les commandes utilisent les arguments suivants :

  • : nom de la base de données à créer ou à mettre à jour.
  • : nom de la batterie de la nouvelle base de données.
  • : nom du site de la nouvelle base de données.
  • :笔名de la收集de la de donn新式基地ées.

  • : groupe d’administrateurs de batterie, spécifié comme chemin complet.

    Remarque :

    Lorsque vous exécutez l’assistant de configuration, vous devez être membre de ce groupe (un groupe Active Directory) pour ajouter les serveurs Citrix Provisioning à la base de données.

  • : permet d’activer ou désactiver les groupes AD ; option spécifiée comme valeur booléenne, oùtrueactive les groupes AD etfalsedésactive les groupes AD.
  • : nom du script à générer, spécifié comme chemin complet.
  • — Cette option est obsolète. Utiliseztrue

Exemples DbScript.exe

Cet exemple génère un script pour créer une base de données Citrix Provisioning vide appeléedb1-2。Le script est appelénewDb.sqlet se trouve dansC:

C:\Program Files\Citrix\Provisioning Services> DbScript.exe -new db1-2 Farm1 Site1 Collection1 "test.local/Users/Domain Users" true c:\newDb.sql true

Cet exemple génère un script pour mettre à niveau la base de données Citrix Provisioningtest1。Le script est appeléupgrade.sqlet, comme aucun chemin d’accès n’est spécifié, se trouve dans le répertoire où le script a été exécuté (C:\Program Files\Citrix\Provisioning Services).

C:\Program Files\Citrix\Provisioning Services>DbScript.exe -upgrade test1 upgrade.sql

Dimensionnement de la base de données

Pour de plus amples informations, consultez la sectionDimensionnement de la base de données

Lorsque la base de données est créée, sa taille initiale est de 20 Mo avec une taille de croissance de 10 Mo. La taille initiale du journal de base de données est de 10 Mo avec une taille de croissance de 10 %.

La quantité d’espace minimum requis est de 112 Ko, ce qui ne change pas. L’image de base comprend les éléments suivants :

  • L’enregistrement DatabaseVersion requiert approximativement 32 Ko.
  • L’enregistrement Farm requiert approximativement 8 Ko.
  • L’enregistrement DiskCreate requiert approximativement 16 Ko.
  • Les notifications requièrent approximativement 40 Ko.
  • L’enregistrement ServerMapped requiert approximativement 16 Ko.

含d requis空间变量,basée sur des objets, est la suivante :

  • Accès et regroupements (chaque)
    • Un groupe d’utilisateur qui a accès au système requiert approximativement 50 Ko.
    • Un enregistrement Site requiert approximativement 4 Ko.
    • Une collection requiert approximativement 10 Ko.
  • FarmView (chaque)
    • FarmView requiert approximativement 4 Ko.
    • Une relation FarmView/Device requiert approximativement 5 Ko.
  • SiteView (chaque)
    • SiteView requiert approximativement 4 Ko.
    • Une relation SiteView/Device requiert approximativement 5 Ko.
  • Machine cible (chaque)
    • Une machine cible requiert approximativement 2 Ko
    • DeviceBootstraprequiert approximativement 10 Ko.
    • La relationDevice:Diskrequiert approximativement 35 Ko.
    • La relationDevice:Printerrequiert approximativement 1 Ko.
    • DevicePersonalityrequiert approximativement 1 Ko.
    • DeviceStatusrequiert approximativement 1 KB lorsqu’une machine est démarrée.
    • DeviceCustomPropertyrequiert approximativement 2 Ko.
  • Disque (chaque)
    • Un disque unique requiert approximativement 1 Ko.
    • DiskVersionrequiert approximativement 3 Ko.
    • DiskLocatorrequiert approximativement 10 Ko.
    • DiskLocatorCustomPropertyrequiert approximativement 2 Ko.
  • Serveur Provisioning (chaque)
    • Un serveur requiert approximativement 5 Ko.
    • ServerIPrequiert approximativement 2 Ko.
    • ServerStatuslorsqu’un serveur est démarré requiert approximativement 1 KB.
    • ServerCustomPropertyrequiert approximativement 2 Ko.
  • Magasin (chaque)
    • Store requiert approximativement 8 Ko.
    • La relation Store/Server requiert approximativement 4 Ko.
  • Mise à jour du disque (chaque)
    • VirtualHostingPoolrequiert approximativement 4 Ko.
    • UpdateTaskrequiert approximativement 10 Ko.
    • DiskUpdateDevicerequiert approximativement 2 Ko.
    • Chaque relationDiskUpdateDevice:Diskrequiert approximativement 35 Ko.
    • La relationDisk:UpdateTaskrequiert approximativement 1 Ko.

Les修改按照entrainent lugmentation des conditions requises en matière de taille :

  • Chaque tâche traitée (par exemple : fusionnement des versions de disque virtuel) requiert approximativement 2 Ko.
  • Si la fonction d’audit est activée, chaque modification effectuée par l’administrateur dans la console Citrix Provisioning, MCLI ou l’interface PowerShell requiert approximativement 1 Ko.

Mise en miroir de la base de données

Pour que Citrix Provisioning prenne en charge la mise en miroir de base de données MS SQL, la base de données doit être configurée avecHigh-safety mode with a witness (synchronous)

Pour plus d’informations sur la manière de configurer et d’utiliser la mise en miroir de base de données, consultez la sectionMise en miroir de la base de données

Implémenter le clustering de base de données

Pour implémenter le clustering de base de données :

  1. Suivez les instructions de Microsoft.
  2. Lancez l’assistant de configuration Citrix Provisioning.
  3. SpécifiezAvailability Group listenercomme serveur de base de données. Aucune instance n’est utilisée.
  4. ActivezMulti-Subnet Failoverdans Connection Options.

Types d’authentification pris en charge

Le tableau vous aide à déterminer comment vous souhaitez que Citrix Provisioning s’authentifie auprès de la base de données et les informations d’identification que vous souhaitez utiliser lors de l’authentification.

Type d’authentification Accorde l’accès à Informations d’identification requises Plateforme base de données Autres restrictions
Intégré à Active Directory Utilisateur Active Directory. Créez le nom d’utilisateur dans Active Directory si vous ne souhaitez pas utiliser un nom d’utilisateur existant. Aucune (utilise le contexte de connexion actuel) SQL Server Le serveur Citrix Provisioning doit appartenir à un domaine. Le contexte utilisateur du service Citrix Provisioning doit être un utilisateur de domaine. Un utilisateur de domaine doit configurer Citrix Provisioning.
SQL Server Connexion SQL. Créez la connexion SQL sur le serveur de base de données si vous ne souhaitez pas en utiliser une existante. Connexion et mot de passe SQL Server et Azure SQL Database

Remarque :

D’autres types d’authentification sont pris en charge pour Azure SQL Database et Azure SQL Managed Instance. Pour plus d’informations, consultezTypes d’authentification pris en charge

Configuration de l’authentification

Citrix Provisioning peut utiliser l’authentificationActive Directory Integratedou l’authentificationSQL Serverpour accéder à la base de données.

Autorisations d’accès des utilisateurs à l’assistant de configuration

Vous devez disposer des privilèges système d’un administrateur local pour exécuter l’assistant de configuration.

Leprincipal de la base de données d’administrationest le principal de la base de données utilisé par l’assistant de configuration pour créer et configurer la base de données de provisioning. Les informations d’authentification que vous spécifiez dans l’assistant de configuration identifient le principal de la base de données.

  • Si vous choisissez l’authentificationintégrée Active Directory, l’assistant de configuration accède à la base de données en tant qu’utilisateur exécutant l’assistant de configuration (utilisateur Active Directory).
  • Si vous choisissez l’authentificationSQL Server, l’assistant de configuration accède à la base de données en tant que principal différent.

ConsultezTypes d’authentification pris en chargepour obtenir plus d’informations sur la sélection d’un principal de base de données d’administration.

Remarque :

Le principal de la base de données d’administration est uniquement utilisé lors de l’exécution de l’assistant de configuration. Il n’est pas enregistré et n’est pas utilisé par les services Stream et SOAP. Vous devez utiliser un principal avec des privilèges élevés pour les services Stream et SOAP.

  • Lorsque vous utilisez SQL Server, le principal de la base de données d’administration requiert les autorisations suivantes :

    • securityadminpour créer et mettre à jour les identifiants de serveur (lors de l’utilisation de SQL Server)
    • db_ownerpour toutes les bases de données existantes

Pour créer une base de données pour une nouvelle batterie de serveurs, le principal de la base de données d’administration requiertdbcreatorcomme autorisation supplémentaire. VoirSélection et configuration de la base de données Microsoft SQLpour plus d’informations sur les différentes méthodes de création de la base de données.

  • Lorsque vous utilisez Azure SQL Database, le principal de la base de données d’administration requiert les autorisations suivantes :

    • loginmanagerpour créer et mettre à jour les identifiants de serveur
    • db_ownerpour toutes les bases de données existantes

    Pour créer une base de données pour une nouvelle batterie de serveurs, le principal de la base de données d’administration requiertdbmanagercomme autorisation supplémentaire.

    loginmanageretdbmanagersont des rôles d’utilisateur spéciaux qui sont attribués aux utilisateurs dans la base de données principale.

Autorisations d’accès au compte de service

Le compte de service pour les services Stream et SOAP doit disposer des privilèges système suivants :

  • Exécuter en tant que service
  • Accès en lecture au registre
  • Accès àProgram Files\Citrix\Citrix Provisioning
  • Accès en lecture et écriture à n’importe quel emplacement de disque virtuel

Leprincipal de la base de données de serviceest le principal de la base de données utilisé par les services pour accéder à la base de données de provisioning. Les informations d’authentification que vous spécifiez dans l’assistant de configuration identifient le principal de la base de données.

  • Si vous choisissez l’authentificationintégrée Active Directory, les services accèdent à la base de données en tant que compte de service (utilisateur Active Directory).
  • Si vous choisissez l’authentificationSQL Server, les services peuvent accéder à la base de données en tant que principal différent.

ConsultezTypes d’authentification pris en chargepour obtenir plus d’informations sur la sélection d’un principal de base de données de service.

L’assistant de configuration configure la base de données pour s’assurer que le principal de la base de données de service dispose des autorisations suivantes.

  • db_datareader
  • db_datawriter
  • Autorisations d’exécution sur les procédures stockées

Déterminez le compte d’utilisateur pris en charge sous lequel seront exécutés les services de streaming et SOAP :

  • compte de service réseau ;

    compte local doté des privilèges minimaux qui authentifie sur le réseau en tant que compte de la machine de domaine d’ordinateurs ;

  • compte d’utilisateur spécifié (requis lors de l’utilisation d’un partage Windows), qui peut être un compte d’utilisateur de domaine ou de groupe de travail ;

倒,les牌照公里数字项收费,le compte d’utilisateur du serveur SOAP doit être membre du groupe Administrateurs local.

Conseil :

Comme l’authentification n’est pas fréquente dans les environnements de groupe de travail, des comptes d’utilisateurs dotés d’un minimum de privilèges doivent être créés sur chaque serveur et chaque instance doit posséder les mêmes informations d’identification.

Déterminez l’option de sécurité appropriée à utiliser dans cette batterie. Il n’est possible de sélectionner qu’une option par batterie et votre choix affecte les groupes d’utilisateurs et l’administration basée sur les rôles. Pour les options de sécurité :

  • Use Active Directory groups for security (par défaut) : sélectionnez cette option dans le cas d’undomaine Windows exécutant Active Directory。Cette option vous permet d’utiliser Active Directory pour les rôles d’administration de Citrix Provisioning.

    Remarque :

    Les domaines Windows 2,000 ne sont pas pris en charge.

  • Use Windows groups for security : sélectionnez cette option si vous vous trouvez sur un serveur unique ou dans un groupe de travail. Cette option vous permet d’utiliser les groupes/l’utilisateur local sur ce serveur particulier pour les rôles d’administration de Citrix Provisioning.

les utilisateurs de la console n’ont pas d’accès direct à la base de données.

Les permissions minimales requises pour une fonctionnalité de provisioning supplémentaire comprennent :

  • Assistant d’installation Citrix Virtual Apps and Desktops, Assistant Streamed VM Setup Wizard et service de mise à jour de l’image
    • Permissions minimales vCenter, SCVMM et Citrix Hypervisor
    • Autorisations pour l’utilisateur actuel sur un contrôleur Citrix Virtual Apps and Desktops existant
    • Un compte d’utilisateur de la console Citrix Provisioning configuré en tant qu’administrateur Citrix Virtual Apps and Desktops et ajouté à un groupeSiteAdminou supérieur
    • 许可活动目录创建帐户倒créer des comptes dans la console. Pour utiliser des comptes existants, les comptes Active Directory doivent exister dans une unité d’organisation connue pour sélection.
  • Synchronisation de compte AD : autorisations de création, de réinitialisation et de suppression
  • Disque virtuel : privilèges requis pour effectuer les tâches de maintenance de volume

Remarque :

Un compte de service ne nécessite pas d’autorisations AD spéciales.

Activer une connexion distante dans SQL Server

Utilisez les informations de cette section pour établir une connexion distante au serveur SQL.

  1. Connectez-vous au serveur SQL à l’aide deSQL Server Management Studio

  2. Dans la fenêtre de l’explorateur d’objets, cliquez avec le bouton droit sur le serveur SQL et choisissezPropriétés:

    Explorateur d'objets MS SQL Server

  3. Dans la fenêtreExplorateur d’objets, sélectionnez le nœudConnexions。SousAccès distants au serveur, activez ou désactivez la case à cocherAutoriser les accès distants à ce serveur:

Connexions MS SQL Server

Après la mise à jour de la connexion distante au serveur :

  1. Dans le menuDémarrer, cliquez surDémarrer > Microsoft SQL Serverversion> SQL ServerversionGestionnaire de configuration。La fenêtreGestionnaire de configuration SQL Servers’affiche.
  2. Développez l’optionConfiguration du réseau SQL Server。SélectionnezProtocoles pour (nom de votre serveur)。SélectionnezTCP/IPet faites un clic droit. Dans le menu contextuel, choisissezActiver。Cliquez surOKpour redémarrer le service.

TCP/IP MS SQL Server

Après le redémarrage du service, modifiez lemode de démarrage。Dans la fenêtreGestionnaire de configuration SQL Server:

  1. SélectionnezServices SQL Server。Dans le volet droit, cliquez avec le bouton droit sur l’optionExplorateur SQL Serverpour afficher un menu contextuel.
  2. ChoisissezPropriétés
  3. Dans l’ongletService, définissez lemode de démarragesurAutomatique
  4. Cliquez surOK

Propriétés de l'explorateur MS SQL Server

  1. SélectionnezExplorateur SQL Serveret cliquez avec le bouton droit de la souris pour afficher un menu contextuel. Cliquez surDémarrer
  2. Sélectionnez le service SQL Server qui correspond à l’instance et cliquez avec le bouton droit pour ouvrir un menu contextuel. Cliquez surRedémarrer

Créer une exception pour SQL Server dans le Pare-feu Windows

Utilisez les informations de cette section pour créer une exception pour SQL Server dans les environnements utilisant le Pare-feu Windows :

  1. Ouvrez lepanneau de configurationet sélectionnezSystème et sécurité

  2. SélectionnezPare-feu Windows Defender:

    Pare-feu Windows Defender MS SQL Server

  3. Cliquez surAutoriser une application ou une fonctionnalité via le Pare-feu Windows Defender。Activez le Pare-feu Windows :

    MS SQL Server active le pare-feu Windows Defender

  4. Dans la fenêtreAutoriser les applications à communiquer à travers le Pare-feu Windows Defender, cliquez surAutoriser une autre application…:

    MS SQL Server autorise les applications pare-feu

  5. Dans l’écranAjouter une application, cliquez surParcourir

  6. Accédez au service SQLsqlserver.exeet cliquez surOuvrir。Le chemin d’accès par défaut àsqlserver.exeest :

    • SQL 2019 —C:\Program Files\Microsoft SQL Server\MSSQL15.\MSSQL\Binn
    • SQL 2017 —C:\Program Files\Microsoft SQL Server\MSSQL14.\MSSQL\Binn
  7. Cliquez surAjouter:

MS SQL Server autorise les applications pare-feu

  1. Répétez les étapes 4 à 7 pourC:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe.
  2. Cliquez surOK

Activer la connexion sécurisée entre le serveur Provisioning et SQL Server

SQL Server, le serveur de licences et le serveur de provisioning peuvent être configurés pour permettre une connexion sécurisée.

Utilisez les informations de cette section pour établir une connexion sécurisée à SQL Server.

Sur l’ordinateur SQL Server :

  1. Obtenez un certificat de serveur avec une clé privée qui peut être utilisé comme certificat de serveur de SQL Server. Vous pouvez obtenir le certificat de serveur auprès d’une autorité de confiance ou utiliser un certificat auto-signé. Le certificat du serveur et la clé privée doivent se trouver dans un fichier。PFX。Le nom commun doit être le nom de domaine complet de l’ordinateur SQL Server.
  2. Importez le certificat et la clé dans le dossier des certificats personnels du magasin de certificats de l’ordinateur local sur l’ordinateur SQL Server.
  3. Donnez à SQL Server l’accès au certificat et à la clé.
  4. Procédez comme suit pour configurer SQL Server afin de forcer les connexions sécurisées.
    1. Exécutez leGestionnaire de configuration de SQL Server
    2. Dans le volet gauche, sélectionnezSQL Server Network Configuration > Protocols for instance
    3. Cliquez avec le bouton droit et sélectionnezProperties
    4. Dans l’ongletFlags, définissezForce EncryptionsurYes
    5. Dans l’ongletCertificate, sélectionnez le certificat de serveur dans la liste déroulante. Si ce certificat ne figure pas dans la liste, vérifiez qu’il a été importé conformément à la description.
    6. Cliquez surOKet redémarrez le service SQL Server pour l’instance.

Sur l’ordinateur serveur Citrix Provisioning :

  1. Déployez les certificats d’autorité de certification nécessaires pour faire confiance au certificat du serveur.
    1. Si l’autorité n’est pas fiable :
      1. Obtenez le certificat d’autorité.
      2. Importez ce certificat dans le dossier Trusted Root Certificate Authorities du magasin de certificats de l’ordinateur local.
    2. Si le certificat de serveur est auto-signé :
      1. Sur l’ordinateur SQL Server, exportez le certificat uniquement dans un fichier de certificat.
      2. Copiez ce certificat sur l’ordinateur serveur Citrix Provisioning.
      3. Importez ce certificat dans le dossier Trusted Root Certificate Authorities du magasin de certificats de l’ordinateur local.
  2. Configurez le serveur Provisioning pour se connecter à SQL Server en utilisant le même nom que dans le certificat, qui est le nom de domaine complet de l’ordinateur SQL Server. Si nécessaire, exécutez l’assistant de configuration et rejoignez la batterie de serveurs. Cette méthode vous permet de modifier le nom du serveur de base de données.

Sécurité Kerberos

Par défaut, la console Citrix Provisioning, Imaging Wizard, le composant logiciel enfichable PowerShell et MCLI utilisent l’authentification Kerberos lors des communications avec le service SOAP dans un environnement Active Directory. Une partie de l’architecture Kerberos est pour l’enregistrement d’un service (créer un nom principal de service, SPN) avec le contrôleur de domaine (Kerberos Key Distribution Center). L’enregistrement est essentiel car il permet à Active Directory d’identifier le compte sur lequel le service SOAP est exécuté. Si l’enregistrement n’est pas réalisé, l’authentification Kerberos échoue et Citrix Provisioning retourne à l’utilisation de l’authentification NTLM.

Le service SOAP de Citrix Provisioning s’enregistre à chaque démarrage du service et annule son enregistrement lors de l’arrêt du service. Toutefois, l’enregistrement échoue si le compte d’utilisateur du service ne dispose pas des autorisations nécessaires. Par défaut, le compte Network Service et les administrateurs de domaine possèdent des permissions que les comptes d’utilisateur de domaine normaux ne possèdent pas.

Pour contourner ce problème d’autorisation, effectuez l’une des opérations suivantes :

  • utilisez un compte différent qui possède des permissions pour créer des SPN ;

  • attribuez des permissions au compte de service.

Type de compte Autorisation
Compte ordinateur SPN validé en écriture
Compte utilisateur Informations publiques en écriture
Tâches de pré-installation
June 13, 2023
Contributeur:
C
June 13, 2023
Contributeur:
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.