app orchestration 2 - docs.citrix.com · • forum de discussion app orchestration 2.x : utilisez...

© 2015 Citrix Systems, Inc. Tous droits réservés.

App Orchestration 2.6

Guide de démarrage de Citrix App Orchestration 2.6



Version : 1.0

Dernière mise à jour : octobre 6, 2015



Table des matières

TOC



Copyright et marques déposées

L’utilisation du produit documenté dans ce guide est soumise à votre acceptation préalable du contrat

de licence de l’utilisateur final. Une version imprimable du Contrat de licence d'utilisateur final figure sur

le support d'installation.

Les informations contenues dans ce document peuvent faire l’objet de modifications sans préavis. Sauf

mention contraire, les sociétés, noms et données utilisés dans les exemples sont fictifs. Aucune partie

de ce document ne peut être reproduite ou transmise, sous quelque forme, par quelque moyen,

électronique ou mécanique, et pour quelque motif que ce soit, sans l'autorisation expresse et écrite de

Citrix Systems, Inc.


Les marques suivantes sont des marques de fabrique, de commerce ou de service de Citrix Systems,

Inc et/ou de l'une ou plusieurs de ses filiales et peuvent être enregistrées auprès du bureau américain

des brevets et des marques de commerce et dans d'autres pays :

Citrix®, Citrix Access Gateway™, Citrix App Orchestration™, Citrix Receiver™, Citrix XenApp™,

CloudPlatform™, CloudPortal™, ICA®, NetScaler®, NetScaler App Delivery Controller™, NetScaler

Gateway™, XenApp®, XenDesktop™, XenServer™

Toutes les autres marques de fabrique, de commerce ou de service, et autres marques déposées sont

la propriété de leurs détenteurs respectifs.



Bienvenue dans App Orchestration 2.6

Merci d'avoir choisi App Orchestration. Ce document contient des informations et des instructions

destinées à vous aider à planifier votre déploiement App Orchestration, préparer les composants

principaux et effectuer des tâches telles que la création d'offres et l'abonnement de locataires à ces

offres.

Nouveautés dans cette version

• Prise en charge de XenDesktop 7.6 : App Orchestration 2.6 permet de déployer et de gérer une

infrastructure de mise à disposition d'applications et de bureaux sur de multiples locataires,

domaines et datacenters à l'aide de XenDesktop 7.6 Feature Pack 2. Découvrez les avantages et

les nouvelles fonctionnalités de XenDesktop 7.6.

• Prise en charge de StoreFront 3.0 : App Orchestration 2.6 permet de déployer et d'orchestrer des

groupes de serveurs et des sites StoreFront 3.0. Vous pouvez facilement gérer l'isolement de

groupes de serveurs et de sites pour chaque locataire à l'aide de l'un des trois modes d'isolation

prédéfinis (partagé, privé et site privé). En savoir plus sur StoreFront 3.0.

• Mise à niveau sur place : mettez à niveau les déploiements App Orchestration 2.5 sur place et

transférez les sites XenDesktop 7.5 Delivery Controller et les groupes de serveurs 2.5 StoreFront

orchestrés vers les dernières versions 7.6 et 3.0. Reportez-vous au guide de mise à niveau pour

consulter les scripts de mise à niveau, les programmes d'installation et les processus fournis.

• Conseils relatifs à la haute disponibilité et à la récupération d'urgence : de nouvelles

instructions sur la configuration d'App Orchestration pour assurer une haute disponibilité et une

récupération d'urgence sont maintenant disponibles. Cette version prend en charge les

architectures comprenant plusieurs datacenters tolérants aux sinistres dans lesquelles

l'infrastructure de mise à disposition est orchestrée et gérée sur de multiples datacenters, même en

cas de dysfonctionnement d'un dacacenter. Lors d'un sinistre, App Orchestration peut être utilisé

pour augmenter rapidement la capacité en termes de datacenters de secours afin de restaurer ou

d'étendre la disponibilité des services. En savoir plus sur ces configurations.

• Déploiement léger : dans cette version, les exigences liées à la haute disponibilité sont maintenant

facultatives, ce qui permet de créer des sites et des groupes de serveurs à l'aide d'un seul serveur.

Cette modification réduit les coûts et la durée de déploiement pour les déploiements légers.

• Mise à disposition groupée : pour assurer une mise en route rapide, tous les supports de produits

Citrix sont groupés dans un seul téléchargement. Le processus de désempaquetage déploie le

support produit afin de préparer l'image à l'aide d'App Orchestration Install Center. La mise à

disposition groupée fait gagner du temps aux administrateurs en termes de téléchargement et de

conditionnement des programmes d'installation et correctifs de XenDesktop, StoreFront et App

Orchestration.

• Programme d'amélioration de l'expérience utilisateur : l'une des nouveautés dans cette version

offre la possibilité de participer au programme CEIP. Une fois inscrit, App Orchestration recueillera

http://support.citrix.com/proddocs/topic/xenapp-xendesktop-76/xad-whats-new.html

http://support.citrix.com/proddocs/topic/xenapp-xendesktop-76/xad-whats-new.html

http://docs.citrix.com/en-us/storefront/3/sf-about-30.html



des informations anonymes sur l'utilisation du produit afin d'offrir un support et des produits

améliorés.

App Orchestration : documentation et assistance

• App Orchestration dans Citrix eDocs : cette section de eDocs constitue votre source principale

d'informations relatives à toutes les ressources disponibles dans App Orchestration 2.6. Des guides

d'accès, vidéos et autres documents vous permettent d'avancer à travers de chaque étape du

déploiement.

• Forum de discussion App Orchestration 2.x : utilisez ce site de discussion Citrix pour demander des

questions et partager vos connaissances sur App Orchestration.

http://docs.citrix.com/en-us/app-orchestration/app-orchestration-2-6.html

http://discussions.citrix.com/forum/1382-app-orchestration-2x/



Utilisez le tableau suivant comme guide des documents disponibles pour la planification et le

déploiement de App Orchestration :

Lorsque vous êtes prêt à… Et que vous avez besoin de plus

d'informations sur...

Consultez ce document...

Planifier votre déploiement App

Orchestration et préparer votre

environnement réseau

Problèmes connus dans App

Orchestration

Problèmes connus dans App

Orchestration 2.6

Concepts et terminologie

spécifiques à App Orchestration

Concepts et termes clés relatifs

à App Orchestration

Configuration système requise

pour les composants de base,

tâches de pré-déploiement

requises et considérations de

sécurité

• Guide de démarrage de


(ce document)

• Check-list d'installation

(Annexe au présent

document)

Déploiement de App

Orchestration dans un

environnement Active Directory

avec plusieurs forêts et

plusieurs domaines

Déployer App Orchestration

dans un environnement Active

Directory complexe

Comptes utilisateur requis pour

déployer les composants App

Orchestration principaux et

réaliser des tâches à l'aide de la

console Web App Orchestration

Informations d'identification

utilisées dans App

Orchestration 2.6

Utilisation de la mise en miroir

de base de données SQL pour

l'ajout des fonctionnalités de

haute disponibilité et de

basculement aux bases de

données utilisées dans App

Orchestration

Configurer la mise en miroir de

base de données SQL dans


http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-known-issues-26.pdf

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-known-issues-26.pdf

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-terminology.pdf

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-terminology.pdf

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-ad-deploy.pdf



http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-credentials.pdf



http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-database-mirroring.pdf








Réseaux virtuels que vous

devrez fournir pour l'isolation de

locataire des offres privées

Méthodes d'isolation dans App

Orchestration 2.6

Intégrer Citrix CloudPlatform

avec App Orchestration pour

créer des clouds publics et

privés

Utilisation de Citrix

CloudPlatform pour

provisionner des machines de

session à la demande dans App

Orchestration 2.6

Configuration de SSL entre les

composants principaux de votre

déploiement

Configurer SSL pour App

Orchestration

Installer et configurer App

Orchestration

Installation des principaux

composants App Orchestration

• Guide de démarrage de


(ce document)

• Check-list d'installation

(Annexe au présent

document)

Utilisation des agents de

domaine pour sécuriser les

communications entre App

Orchestration et les domaines

de ressources dans votre

déploiement.

Déploiement du guide de

déploiement du Zero Trust

Agent

Utilisation de plusieurs

datacenters pour prendre en

charge les ressources

déployées sur plusieurs sites

géographiques

Déploiement d'un

environnement comportant de

multiples datacenters dans App

Orchestration 2.6

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-isolation-methods.pdf


http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-ccp-provisioning.pdf





http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-ssl-config.pdf


http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-zero-trust-agent.pdf



http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-multi-datacenter-overview.pdf









Intégration de NetScaler

Gateway avec App

Orchestration

Configuration de NetScaler 10.1

Équilibrage de la charge avec

StoreFront 3.0 et NetScaler

Gateway pour App

Orchestration 2.6

ou

Configuration de NetScaler 10.5

Équilibrage de la charge avec

StoreFront 3.0 et NetScaler

Gateway pour App

Orchestration 2.6

Utiliser les fonctionnalités

spécifiques de App

Orchestration

Autoriser les bureaux hébergés

à afficher l'apparence de

Windows 7

Configuration de la

fonctionnalité Expérience de

bureau améliorée pour XenApp

et XenDesktop dans App

Orchestration 2.6

Activation du provisioning à la

demande des machines de

session afin d'augmenter la

capacité de votre déploiement

en fonction de vos besoins

Provisioning des machines de

session à la demande dans App

Orchestration 2.6

Intégration de Provisioning

Services avec App

Orchestration afin de fournir un

provisioning à la demande des

machines de session

Utilisation de Citrix Provisioning

Services pour provisionner des

machines de session dans App

Orchestration 2.6

Mettre à niveau un déploiement

App Orchestration 2.5 vers App

Orchestration 2.6

Processus de mise à niveau,

tâches de préparation et

instructions

Guide de mise à niveau pour


http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-nsg10_1-load-balancing.pdf










http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-enhanced-desktop-experience.pdf





http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-integrated-provision.pdf







http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-upgradability-guide.pdf




Composants App Orchestration

App Orchestration offre une solution de gestion unifiée des technologies de mise à disposition

d'applications et de bureaux Citrix dans un environnement multi-locataire, à l'aide de multiples

datacenters répartis sur plusieurs domaines. Cette section décrit les composants principaux et explique

comment les utiliser conjointement pour provisionner et gérer des applications et bureaux hébergés

pour les locataires et les utilisateurs.

• Un déploiement App Orchestration typique comprend les composants suivants :

• Un serveur de configuration pour héberger le moteur App Orchestration et la console de gestion

Web.

• Un agent de domaine, afin de permettre au serveur de configuration de communiquer avec les

domaines locataire isolés dans le déploiement.

• Des Delivery Controller pour héberger des sites de mise à disposition XenApp ou XenDesktop.

• Des machines de session pour héberger les applications et bureaux auxquels les utilisateurs

accèdent via Citrix Receiver.

• Des serveurs StoreFront pour héberger le magasin contenant les offres que vous créez pour les

locataires.

• Des ressources de calcul pour fournir les réseaux virtuels requis pour l'isolation des locataires et le

provisioning des machines de session configurées de façon identique par le biais du provisioning

intégré.

Pour accéder à un aperçu visuel du déploiement App Orchestration, reportez-vous au diagramme

Architecture App Orchestration.

Serveur de configuration

De quoi s'agit-il ?

Le serveur de configuration App Orchestration héberge le moteur App Orchestration et la console de

gestion Web. Ces composants sont des composants sans état qui peuvent être déployés sur plusieurs

serveurs afin de fournir une haute disponibilité et une capacité à monter en charge. En outre, une

instance de Machine Creation Services (MCS) et un agent résident sur le serveur de configuration. MCS

fournit la fonctionnalité permettant de créer et gérer des machines virtuelles (VM) sur les ressources de

calcul dans l'infrastructure de virtualisation.

À quoi sert-il ?

Lorsqu'une modification est apportée au déploiement, telle que la création d'un site de mise à

disposition ou l'ajout d'une machine de session à un catalogue, la modification est enregistrée dans la

base de données de configuration et le moteur App Orchestration exécute toutes les actions requises

pour appliquer la modification. Ces actions sont appelées workflows. Vous pouvez contrôler ces

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-architecture.pdf



derniers à partir de la console de gestion Web. Le serveur de configuration peut appliquer ces

modifications de manière asynchrone, ce qui permet d'exécuter plusieurs opérations sur différents

produits dans la séquence appropriée et sur de longues périodes. En cas d'échecs, ils peuvent être

corrigés et le système procède à la modification.

En général, l'agent résidant sur le serveur de configuration interagit avec Active Directory pour les

opérations telles que la surveillance des unités d'organisation. Si vous utilisez des domaines

« confiance zéro » dans votre déploiement, le Zero Trust Agent gère la communication avec Active

Directory. Toutes les communications Active Directory transitent via les services Web Active Directory.

L'agent communique également avec les machines de session qui n'ont pas encore été allouées pour

héberger les abonnements des locataires. Cela s'effectue à l'aide de la communication à distance

PowerShell (WinRM) et de l'exécution de scripts pré-installés.

De combien de serveurs StoreFront ai-je besoin ?

Vous devez disposer d'au moins un serveur de configuration dans votre déploiement. Toutefois, vous

pouvez déployer de multiples serveurs de configuration afin de fournir des capacités de haute

disponibilité et de basculement.

Pour la configuration système requise et des instructions de préparation, consultez la section « Préparer

le serveur de configuration App Orchestration » à la page 31.

Agent de domaine

De quoi s'agit-il ?

L'agent de domaine, également appelé Zero Trust Agent, permet au serveur de configuration

d'orchestrer les ressources dans les domaines auxquels il ne peut pas se connecter directement ou

dans lesquels la configuration d'approbations Active Directory entre le domaine de ressources partagé

et le domaine orchestré cible n'est pas autorisée.

À quoi sert-il ?

L'agent de domaine est installé sur une machine dédiée dans chaque domaine de ressources de votre

déploiement App Orchestration. L'agent établit une connexion SSL au serveur de configuration au

travers de laquelle le serveur de configuration envoie des demandes à l'agent.


Vous devez disposer d'au moins un agent de domaine pour chaque domaine de ressources de locataire

isolé dans votre déploiement. L'agent de domaine est installé sur un serveur dédié et requiert SSL. Pour

de plus amples informations sur le déploiement du Zero Trust Agent, consultez la section Déploiement

du Zero Trust Agent dans App Orchestration 2.6.





Sites de mise à disposition et Delivery Controller

De quoi s'agit-il ?

Les sites sont composés de Delivery Controller configurés de façon identique et comprennent les

machines de session, les groupes de mise à disposition et d'autres composants qui mettent à

disposition des applications et des bureaux hébergés auprès des locataires et de leurs utilisateurs au

niveau d'isolation approprié. Pour de plus amples informations sur les niveaux d'isolation, consultez le

document Méthodes d'isolation dans App Orchestration 2.6.

À quoi servent-ils ?

Les Delivery Controller sont chargés de distribuer et gérer l'accès utilisateur aux applications et bureaux

hébergés, de gérer l'alimentation des bureaux et les cycles de redémarrage des serveurs. Les Delivery

Controller peuvent être provisionnés pour exécuter XenApp 6.5 ou XenApp 7.6 et XenDesktop 7.6.

Lorsque vous préparez des machines en tant que Delivery Controller, App Orchestration installe un

agent sur chaque machine pour établir une communication avec l'API du moteur d'orchestration qui est

hébergé sur le serveur de configuration. Le Delivery Controller gère la configuration du site mise à

disposition et le processus de drainage pour les machines de session. En outre, l'agent associe des

machines de session au site de mise à disposition à l'aide de la communication à distance PowerShell

et l'exécution de scripts pré-installés.


Vous devez disposer d'au moins un Delivery Controller pour chaque site de mise à disposition que vous

déployez. Si vous déployez plus d'un Delivery Controller, ces Delivery Controller doivent être configurés

de façon identique, notamment la configuration matérielle, le système d'exploitation et les mises à jour

installées.


les Delivery Controller et les machines de session » à la page 34.

Informations supplémentaires

• Documentation XenApp 7.6 et XenDesktop 7.6

• Documentation du produit XenApp 6.5

Machines de session, catalogues et groupes de mise à disposition

De quoi s'agit-il ?

Les machines de session hébergent les applications et les bureaux auxquels les utilisateurs du locataire

accèdent via Citrix Receiver. À l'instar des Delivery Controller, les machines de session peuvent être

provisionnées pour exécuter XenApp 6.5, XenApp 7.6 ou XenDesktop 7.6.


http://support.citrix.com/proddocs/topic/xenapp-xendesktop/xad-xenapp-xendesktop-76-landing.html

http://support.citrix.com/proddocs/topic/xenapp-xendesktop/xenapp65-w2k8-wrapper.html



Qu'est-ce qu'un catalogue ?

Plusieurs machines de session sont réunies au sein de catalogues de machines de session. Toutes les

machines de session dans un catalogue sont configurées de façon identique ; elles utilisent le même

système d'exploitation, les mêmes paramètres de configuration et les mêmes logiciels installés. Cela

garantit que les utilisateurs peuvent accéder aux applications et bureaux associés au catalogue, quelles

que soient les machines que App Orchestration sélectionne pour héberger des sessions. Lorsqu'une

capacité supplémentaire est nécessaire pour les abonnements, les machines de session du catalogue

sont ajoutées à un groupe de mise à disposition qui est associé au locataire qui a souscrit à

l'abonnement. Les groupes de mise à disposition peuvent être dédiés aux utilisateurs d'un seul locataire

ou partagés entre les utilisateurs de plusieurs locataires.

Vous pouvez créer deux types de catalogues dans App Orchestration : des catalogues à la demande et

des catalogues pour les machines provisionnées en externe.

Les catalogues à la demande utilisent le provisioning à la demande pour créer des machines de session

lorsqu'une capacité plus élevée est requise pour héberger les abonnements du locataire. Avant de créer

un catalogue à la demande, vous devez réaliser des tâches supplémentaires pour activer le provisioning

à la demande dans votre déploiement. Pour plus d'informations sur ces tâches, reportez-vous au

document Provisioning des machines de session à la demande dans App Orchestration 2.6.

Les catalogues pour machines provisionnées en externe vous permettent utiliser d'autres moyens, tels

que Citrix Provisioning Services ou des scripts PowerShell pour provisionner des serveurs et les ajouter

au catalogue. Lorsqu'une capacité supplémentaire est nécessaire dans le catalogue, App Orchestration

vous invite à déployer plus de machines ; les machines supplémentaires ne sont pas déployées

automatiquement. Pour plus d'informations sur l'utilisation de Provisioning Services pour des machines

provisionnées en externe, reportez-vous au document Utilisation de Citrix Provisioning Services pour

provisionner des machines de session dans App Orchestration 2.6.

Types de systèmes d'exploitation pour les catalogues

Lorsque vous créez un nouveau catalogue de machines de session, vous devez sélectionner un type de

système d'exploitation qui gère le système d'exploitation installé sur chaque machine dans le catalogue.

Le type Multi-utilisateurs vous permet de déployer un ensemble standard de bureaux et d'applications

qui sont partagés par un grand nombre d'utilisateurs. Les bureaux et applications sont alloués aux

utilisateurs sur le principe du premier arrivé, premier servi. De plus, l'environnement de bureau rétablit

automatiquement la configuration par défaut lorsque les utilisateurs ferment leur session. Les machines

de session dans un catalogue avec ce type de système d'exploitation exécutent uniquement les

versions prises en charge de Windows Server.

Le type Utilisateur unique vous permet de déployer des bureaux et des applications qui sont attribués à

des utilisateurs individuels. Les utilisateurs peuvent personnaliser le bureau et installer des applications.

De plus, l'environnement de bureau reste inchangé entre les sessions. Les machines de session dans

un catalogue avec ce type de système d'exploitation s'exécutent sur les versions prises en charge de

Windows ou Windows Server (avec la capacité Server VDI de XenDesktop).







Vous devez disposer d'au moins une machine de session pour héberger les offres pour les utilisateurs.

Pour augmenter la capacité de vos offres et héberger davantage de sessions utilisateur, vous pouvez

déployer de multiples machines de session.


les Delivery Controller et les machines de session » à la page 34.

Informations supplémentaires

• Documentation XenApp 7.6 et XenDesktop 7.6

• Documentation du produit XenApp 6.5

StoreFront

De quoi s'agit-il ?

StoreFront authentifie les utilisateurs auprès des sites hébergeant les ressources et gère les magasins

d'applications et de bureaux auxquels les utilisateurs accèdent à l'aide de Citrix Receiver.


Pour fournir des offres aux utilisateurs, vous devez disposer d'au moins un groupe de serveurs

StoreFront comprenant au moins un serveur StoreFront.

• Pour la configuration système requise et des instructions de préparation, consultez la section

« Préparer les serveurs StoreFront » à la page 39.

• Pour de plus amples informations sur StoreFront 3.0, consultez la documentation produit dans Citrix

eDocs.

Lorsque vous ajoutez des locataires à votre déploiement, vous pouvez spécifier si les utilisateurs du

locataire utiliseront un site StoreFront partagé ou privé pour accéder à vos offres. Le nombre de

serveurs StoreFront dont vous avez besoin dépend du nombre de locataires qui utilisent des ressources

StoreFront partagées ou privées pour accéder à vos offres. Pour de plus amples informations sur les

ressources partagées et privées StoreFront, consultez le document Méthodes d'isolation dans App

Orchestration 2.6.

Ressources de calcul

Les ressources de calcul sont les hyperviseurs, pools d'hyperviseurs et autres composants requis pour

créer et gérer des machines virtuelles (VM). Ces ressources vous permettent de créer des réseaux

virtuels, un composant clé pour isoler les locataires et garantir l'attribution des ressources partagées et

privées de manière appropriée. Pour en savoir plus sur les ressources de calcul prises en charge par

App Orchestration, consultez la section « Configurer les ressources » à la page 26.

http://support.citrix.com/proddocs/topic/xenapp-xendesktop/xad-xenapp-xendesktop-76-landing.html

http://support.citrix.com/proddocs/topic/xenapp-xendesktop/xenapp65-w2k8-wrapper.html

http://docs.citrix.com/en-us/storefront/3.html





Vue d'ensemble d'un déploiement App Orchestration

Les phases suivantes ont lieu lors d'un déploiement App Orchestration standard :

Phase Tâches

Préparer • Télécharger le logiciel pour App

Orchestration et ses composants.

• Préparer votre environnement et les

machines que vous utiliserez pour

déployer App Orchestration et concevoir et

mettre à disposition des offres.

Installer Utiliser App Orchestration Install Center pour

installer les logiciels requis sur les machines que

vous préparez en tant que serveur de

configuration, Delivery Controller, machines de

session et serveurs StoreFront. Cela vous permet

d'effectuer les phases de déploiement restantes

avec un minimum d'interruption.

Configurer Configurer les paramètres globaux d'App

Orchestration.

Définir • Définissez des domaines

supplémentaires.

• Créez des datacenters supplémentaires.

• Installer et configurer des ressources de

calcul.

• Ajouter des configurations d'instances.

Créer • Créer des sites de mise à disposition.

• Créer un catalogue de machines de

session pour le provisioning à la demande

ou externe.

• Créer un groupe de serveurs StoreFront.

• Créer une offre.



Phase Tâches

Mettre à disposition • Ajouter un locataire et ajouter des

utilisateurs.

• Ajuster la capacité.

• Abonner le locataire à l'offre.

• (Facultatif) Autoriser le libre-service

locataire avec CloudPortal Services

Manager 11.5.



Préparer le déploiement d'App Orchestration 2.6

Avant d'installer App Orchestration, certaines tâches de planification sont requises pour préparer votre

environnement et les machines à inclure dans votre déploiement. Utilisez cette section pour en savoir

plus sur :

• Les tâches requises à la préparation de votre environnement réseau et des machines contenues

dans votre déploiement.

• La configuration système requise pour les principaux composants de votre déploiement.

• Les recommandations et exigences en matière de déploiement relatives à l'utilisation de

fonctionnalités spécifiques à App Orchestration.

De combien de machines ai-je besoin ?

Le déploiement App Orchestration le plus simple qui vous permet de créer une offre et de la mettre à la

disposition d'un locataire requiert les machines suivantes :

• 1 contrôleur de domaine avec un niveau fonctionnel de domaine minimum de Windows Server 2008

R2

• 1 serveur de base de données exécutant une version prise en charge de Microsoft SQL Server

• 1 serveur de licences Citrix

• 1 serveur, pour le serveur de configuration App Orchestration

• 1 serveur, pour la machine de session qui va héberger les bureaux et les applications pour les

utilisateurs du locataire

• 1 serveur, pour le Delivery Controller qui constitue un site de mise à disposition

• 1 serveur, pour le serveur StoreFront qui constitue un groupe de serveurs StoreFront

Vous pouvez ensuite ajouter d'autres composants tels que NetScaler Gateway et Citrix Provisioning

Services, selon les besoins de votre déploiement.

Vue d'ensemble des tâches de préparation du réseau

Effectuez les tâches suivantes pour préparer votre environnement réseau pour App Orchestration :

N° d'étape

Pour réaliser cette tâche Reportez-vous à cette section



N° d'étape


1 Créer la ressource partagée et les domaines

utilisateur par défaut et l'unité d'organisation

racine pour le déploiement.

« Préparer vos domaines Active Directory »

sur la page 19

2 Créer une stratégie pour toutes les

machines dans le déploiement qui définit la

stratégie d'exécution du PowerShell,

autorise la communication à distance

PowerShell, et autorise l'administration à

distance avec WMI.

« Configurer la stratégie de groupe App

Orchestration » sur la page 22

3 Créer des comptes utilisateur non privilégiés

que vous utilisez pour installer App

Orchestration et que vous désignez comme

compte de service d'orchestration pour le

déploiement.

« Créez des comptes d'administrateur » sur

la page 25

4 Configurer le système de licences Citrix

pour votre déploiement.

« Configurer le système de licences Citrix »

sur la page 26

5 Configurer des ressources de calcul pour

créer des réseaux virtuels et provisionner

des machines de session à la demande.

« Configurer les ressources de calcul » sur

la page 26

6 Configurer NetScaler Gateway pour fournir

un accès distant sécurisé et un équilibrage

de charge pour les serveurs StoreFront

dans votre déploiement.

« Configurer NetScaler Gateway » sur la

page 27

Vue d'ensemble des tâches de préparation de machine

Effectuez les tâches suivantes pour préparer les machines à inclure dans votre déploiement App

Orchestration :

N° d'étape


1 Installer et configurer le serveur SQL Server

qui héberge la base de données de

configuration de votre déploiement.

« Préparer le serveur de base de données »

sur la page 28



N° d'étape


2 Préparer la machine que vous déployez en

tant que serveur de configuration App

Orchestration, notamment la configuration

de SSL.

« Préparer le serveur de configuration App

Orchestration » sur la page 31

3 Préparer les machines que vous déployez

en tant que Delivery Controller et machines

de session, notamment la configuration de

SSL et la mise à jour du composant logiciel

enfichable de stratégie de groupe Citrix.

« Préparer les Delivery Controller et les

machines de session » sur la page 34

4 Préparer les machines que vous déployez

en tant que serveurs StoreFront, notamment

la configuration de SSL.

« Préparer les serveurs StoreFront » sur la

page 39

Préparer vos domaines Active Directory

Pour déployer App Orchestration avec succès, vous devez disposer d'au moins un contrôleur de

domaine dans votre environnement. Avec un domaine unique, vous pouvez créer un déploiement dans

lequel les utilisateurs accèdent aux offres qui sont hébergées sur des ressources partagées entre tous

les locataires.

App Orchestration prend également en charge les déploiements qui s'étendent sur plusieurs forêts et

domaines. Avec un déploiement contenant de multiples domaines ou forêts, vous pouvez fournir une

isolation du locataire, créer des offres privées et allouer des ressources privées à des locataires

spécifiques. Pour de plus amples informations sur le déploiement de forêts multiples, consultez le

document Déployer App Orchestration 2.6 dans un environnement Active Directory complexe.

App Orchestration prend en charge les niveaux fonctionnels de domaine suivants :

Niveaux fonctionnels de domaine de ressources Niveaux fonctionnels de domaine utilisateur

Windows Server 2012

Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2008 R2


Tâche 1 : préparer les domaines requis

Créez les domaines suivants :

Domaine de ressources partagé : domaine dans lequel réside le serveur de configuration App

Orchestration. Ce domaine contient tous les composants qui sont partagés avec de multiples




locataires. Il s'agit également de l'emplacement sur lequel l'unité d'organisation racine App

Orchestration est créée.

Important : tous les serveurs de configuration dans votre déploiement doivent résider dans le domaine de

ressources partagé. App Orchestration ne prend pas en charge l'utilisation de serveurs de configuration dans

des domaines différents.

Domaine utilisateur par défaut : domaine où résident les comptes utilisateur App Orchestration

(par exemple, le compte utilisateur désigné comme compte de service d'orchestration). Vous pouvez

créer un domaine distinct pour ces comptes ou vous pouvez désigner le domaine de ressources

partagé domaine à cette fin.

Si vous avez l'intention d'inclure plusieurs domaines dans votre déploiement, créez ces ressources et

domaines utilisateur en fonction de vos besoins. Vous devrez spécifier les domaines de ressources

partagés et domaines utilisateur par défaut lorsque vous configurez les paramètres globaux d'App

Orchestration. Vous pouvez définir des domaines supplémentaires au travers de la console Web App

Orchestration Pour de plus amples informations sur l'utilisation de plusieurs domaines avec App

Orchestration, reportez-vous au document Déployer App Orchestration dans un environnement Active

Directory complexe.

Tâche 2 : préparer les unités d'organisation requises

Dans le domaine de ressources partagé, créez une unité d'organisation qui agit en tant qu'unité

d'organisation racine pour votre déploiement App Orchestration. Si votre déploiement comprend

plusieurs domaines de ressources, créez une unité d'organisation racine dans chacun de ces domaines.

Vous pouvez nommer l'unité d'organisation racine comme bon vous semble ; toutefois, l'unité

d'organisation racine dans chaque domaine de ressources doit avoir le même nom et chemin d'accès.

Vous devez spécifier l'unité d'organisation racine pour le domaine de ressources partagé lorsque vous

configurez les paramètres globaux d'App Orchestration.

Important : l'unité d'organisation racine dans chaque domaine de ressources doit se trouver dans l'étendue de

la stratégie de groupe App Orchestration. Pour savoir comment configurer cette stratégie et y associer des

unités d'organisation racine, veuillez consulter la section « Configurer la stratégie de groupe App Orchestration

» à la page 22.

Après avoir configuré les paramètres globaux, App Orchestration crée l'unité d'organisation

DecommissionedServers automatiquement dans cette unité d'organisation racine. L'unité d'organisation

DecommissionedServers est destinée aux machines qui ont été supprimées du déploiement.

Tâche 3 : préparer les domaines du locataire et les unités d'organisation

Avant d'ajouter des locataires au déploiement, déterminez les locataires qui nécessitent un accès

partagé ou privé aux offres. Lorsque vous ajoutez des locataires, vous devez spécifier les domaines de

ressources et les domaines utilisateur du locataire afin qu'App Orchestration puisse allouer les

machines hébergeant les offres du locataire de manière appropriée lorsque les abonnements sont

créés.





Créez les domaines de ressources et les domaines utilisateur pour chaque locataire dans Active

Directory et ajoutez-les en tant que domaines via la console Web App Orchestration avant d'ajouter les

locataires ; App Orchestration ne crée pas ces domaines pour vous.

Vous aurez également besoin des groupes d'emplacements et des groupes d'abonnements pour

chaque locataire :

• Les groupes d'emplacements mappent les utilisateurs avec certains datacenters, ce qui permet aux

utilisateurs d'accéder à des applications et bureaux à partir de datacenters différents en fonction de

leur appartenance à un groupe.

• Les groupes d'abonnements sont des groupes d'utilisateurs Active Directory qui organisent les

utilisateurs en fonction des offres dont ils ont besoin. Un groupe d'abonnements doit être membre

d'un groupe d'emplacements, mais peut uniquement appartenir à un seul groupe d'emplacements à

tout moment donné. Lorsque vous créez une offre, vous spécifiez les groupes d'abonnements qui

peuvent accéder à l'offre.

Locataires avec isolation du domaine privé

Pour chaque locataire qui nécessite un accès privé aux offres, effectuez les tâches suivantes :

1. Créez un domaine de ressources privé et une unité d'organisation racine App Orchestration. Il s'agit

de l'emplacement sur lequel App Orchestration va allouer les machines pour l'hébergement des

offres privées.

2. (Facultatif) Créez un domaine utilisateur privé pour les comptes utilisateur du locataire. Vous pouvez

éventuellement utiliser le domaine de ressources du locataire à ces fins.

3. Dans le domaine utilisateur, créez les groupes d'abonnements et d'emplacements pour le locataire.

Enfin, ajoutez des comptes utilisateur aux groupes d'abonnements.

Locataires avec isolation du domaine partagé

Pour chaque locataire qui nécessite un accès partagé aux offres, effectuez les tâches suivantes :

1. Créez une unité d'organisation de ressources pour le locataire dans l'unité d'organisation racine App

Orchestration dans le domaine de ressources partagé.

2. (Facultatif) Créez un domaine utilisateur pour les comptes utilisateur du locataire. Vous pouvez

éventuellement utiliser le domaine utilisateur par défaut d'App Orchestration à ces fins.

3. Dans le domaine utilisateur par défaut, créez les groupes d'abonnements et d'emplacements pour le

locataire. Enfin, ajoutez des comptes utilisateur aux groupes d'abonnements.

Approbations requises pour les domaines de ressources et les domaines utilisateur

Si vous déployez App Orchestration dans un environnement incluant des domaines de ressources et

des domaines utilisateur différents (par exemple, un domaine de ressources et un domaine utilisateur

sont tous les deux différents du domaine de ressources partagé), assurez-vous que le domaine de

ressources fait confiance au domaine utilisateur en établissant une approbation à sens unique. Cette

approbation permet aux utilisateurs d'accéder aux offres hébergés sur les machines dans le domaine de

ressources.



Pour de plus amples informations sur l'utilisation de plusieurs domaines avec App Orchestration,

reportez-vous au document Déployer App Orchestration 2.6 dans un environnement Active Directory

complexe.

Approbations de domaine requises pour les offres privées

App Orchestration vous permet d'isoler les locataires dans leurs propres domaines à l'aide des méthodes suivantes :

• Dans un domaine privé à l'aide du Zero Trust Agent. Le Zero Trust Agent facilite la sécurisation des communications entre le serveur de configuration App Orchestration et le domaine de ressources isolé du locataire. Pour plus d'informations, reportez-vous au document Déploiement du Zero Trust Agent dans App Orchestration 2.6.

• Dans un domaine privé qui nécessite une approbation à sens unique dans Active Directory avec le domaine de ressources partagé. App Orchestration vérifie que cette approbation existe lorsque vous ajoutez un domaine de ressources par le biais de la console Web.

Configurer la stratégie de groupe App Orchestration

Pour simplifier l'administration à distance, créez une stratégie qui s'applique à toutes les machines dans

votre environnement App Orchestration et incluez ce qui suit :

• La stratégie d'exécution PowerShell est définie sur AllSigned.

• La communication à distance PowerShell est activée, notamment la configuration automatique des

écouteurs, les hôtes approuvés, et Windows Remote Shell.

• Autorisez l'administration à distance entrante dans le Pare-feu Windows.

Remarque : par défaut, WinRM 2.5 utilise le port 5985 pour le trafic HTTP et le port 5985 pour le trafic HTTPS.

Si vous utilisez des pare-feu entre le serveur de configuration App Orchestration et les autres serveurs dans

votre déploiement, assurez-vous que ces ports sont activés.

Vous pouvez créer cette stratégie à l'aide de l'une des méthodes suivantes :

• Configurer manuellement les paramètres de stratégie à l'aide de la console de gestion des

stratégies de groupe. Utilisez cette rubrique pour configurer ces paramètres.

• Configurer automatiquement les paramètres de stratégie à l'aide du script New-CamGPO.ps1.

Le script New-CamGPO crée un objet de stratégie de groupe (GPO) et configure tous les paramètres de

stratégie requis décrits dans cette section. Vous pouvez exécuter ce script après avoir préparé le

serveur que vous voulez utiliser comme serveur de configuration App Orchestration, l'associer au

domaine de ressources partagé, et l'ajouter à l'unité d'organisation racine App Orchestration. Ce script

figure dans le dossier %Program Files%\Citrix\CloudAppManagement\InfrastructureTools sur le

serveur de configuration App Orchestration.

Une fois que vous avez créé cette stratégie, associez l'objet de stratégie de groupe aux objets suivants :

• Unité d'organisation racine App Orchestration dans le domaine de ressources partagé.







• Unité d'organisation racine App Orchestration dans chaque domaine de ressources de locataire

privé supplémentaire que vous créez.

Important : lorsque vous déployez des machines qui résident dans ces unités d'organisation (par exemple,

ajout d'un site de mise à disposition), App Orchestration lance des workflows pour compléter les tâches de

déploiement. Pour garantir la bonne exécution des workflows, ces paramètres de stratégie doivent être

appliqués sur les machines sur lesquelles les workflows sont exécutés. App Orchestration ne vérifie pas si ces

paramètres de stratégie sont appliqués avant de lancer les workflows.

Tâche 1 : définir la stratégie d'exécution PowerShell

1. Sur un serveur joint au domaine, ouvrez la console de gestion des stratégies de groupe (gpmc.msc)

et créez un nouvel objet de stratégie de groupe ou modifiez-en un existant.

2. Dans l'Éditeur de gestion de stratégie de groupe, accédez à Configuration ordinateur > Stratégies

> Modèles d'administration > Composants Windows > Windows PowerShell.

3. Cliquez avec le bouton droit sur Activer l’exécution des scripts et sélectionnez Modifier.

4. Sélectionnez Activé puis, sous Options, sélectionnez Autoriser uniquement les scripts signés.

Tâche 2 : configurer la communication à distance PowerShell

Pour configurer la communication à distance PowerShell à l'aide de la stratégie de groupe, utilisez la

console de gestion de stratégie de groupe pour activer le service WinRM, configurer les écouteurs,

spécifier la quantité de mémoire de session disponible et fournir une liste des hôtes approuvés. Vous

devrez également configurer le service WinRM pour qu'il démarre automatiquement et vous assurer que

le pare-feu Windows autorise le trafic via les ports attribués à WinRM.


et créez un nouvel objet de stratégie de groupe (GPO) ou modifiez-en un existant.


> Modèles d'administration > Composants Windows.

3. Utilisez le tableau suivant pour configurer les paramètres de stratégie requis :

Nom et emplacement du

paramètre

Paramètre de stratégie Valeurs du paramètre

Gestion à distance de

Windows (WinRM) > Service

WinRM

Autoriser la configuration

automatique des écouteurs

Activé.

Pour configurer WinRM

pour écouter sur toutes

les adresses, tapez un

astérisque (*) dans les

champs Filtre IPv4 et

Filtre IPv6.



Nom et emplacement du

paramètre

Paramètre de stratégie Valeurs du paramètre

Gestion à distance de

Windows (WinRM) > Client

WinRM

Hôtes approuvés Activé.

Dans

TrustedHostsList,

tapez un astérisque (*)

pour indiquer que tous

les hôtes sont

approuvés.

Windows Remote Shell Spécifier une quantité

maximale de mémoire (en

mégaoctets) par

environnement

Activé.

Dans

MaxMemoryPerShell

MB, tapez 1024.

Spécifier un nombre maximal

d’environnements distants par

utilisateur

Activé.

Dans

MaxShellsPerUser, 0

indique un nombre

illimité

d'environnements.

4. Naviguez jusqu'à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres

de sécurité > Services système.

5. Double-cliquez sur le service Gestion à distance de Windows et sélectionnez les options

suivantes :

Définir ce paramètre de stratégie

Automatique

6. Naviguez jusqu'à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres

de sécurité > Pare-feu Windows avec fonctions avancées de sécurité > Pare-feu Windows

avec fonctions avancées de sécurité > Règles de trafic entrant.

7. Cliquez avec le bouton droit sur Règles de trafic entrant et sélectionnez Nouvelle règle.

8. Dans l'Assistant Nouvelle règle de trafic entrant, sur la page Type de règle, sélectionnez

Prédéfinie, puis sélectionnez la règle Gestion à distance de Windows. Cliquez sur Suivant.

9. Sur la page Règles prédéfinies, acceptez les valeurs par défaut, puis cliquez sur Suivant.

10. Sur la page Actions, assurez-vous que l'option Autoriser la connexion est sélectionnée et cliquez

sur Terminer.



11. Pour appliquer les paramètres, sur chaque serveur, ouvrez une fenêtre de commande PowerShell et

exécutez gpupdate.

Tâche 3 : pour autoriser l'administration à distance avec WMI

Dans le cadre de la maintenance de votre environnement App Orchestration, il se peut que vous deviez

mettre à jour des catalogues de machines de session pour déployer des correctifs, mettre à niveau des

applications installées, ou tirer parti de nouveau matériel sur les machines de session. Pour vous

assurer que le processus de mise à jour se déroule sans heurts, une exception de pare-feu est requise

pour autoriser les connexions administratives à distance entrantes sur les ports TCP 135 et 445. Si cette

exception n'est pas présente, le processus de mise à jour peut échouer.


et créez un nouvel objet de stratégie de groupe (GPO) ou modifiez-en un existant. Cet objet de

stratégie de groupe doit être associé à tous les serveurs dans l'environnement App Orchestration.


> Modèles d'administration > Réseau > Connexions réseau > Pare-feu Windows > Profil du

domaine.

3. Double-cliquez sur le paramètre Pare-feu Windows: autoriser l'exception d'administration à

distance entrante et sélectionnez Activé.

4. Sous Options, dans Autoriser les messages entrants non sollicités provenant des adresses IP

suivantes, tapez un astérisque (*).

5. Cliquez sur OK pour enregistrer votre sélection.

Créez des comptes d'administrateurs

Pour installer et gérer les composants dans votre déploiement App Orchestration, créez les objets

suivants :

• Groupe de services d'orchestration : groupe d'utilisateurs pour les comptes utilisateur pour

l'installation et l'administration du déploiement. Ce groupe accorde des droits complets aux comptes

utilisateur. Les comptes utilisateur qui sont ajoutés à ce groupe doivent être des utilisateurs sans

privilèges ne possédant pas de droits d'administrateur sur les machines dans le déploiement. Les

comptes de ce groupe ne doivent pas être membres du groupe Administrateurs du domaine. Vous

devrez fournir ce nom de groupe lorsque vous installez le serveur de configuration App

Orchestration.

Remarque : une fois que vous spécifiez ce nom de groupe, il ne peut pas être modifié ultérieurement.

• Compte de service d'orchestration : compte utilisateur principal utilisé pour effectuer les tâches

d'administration dans la console Web App Orchestration. Il s'agit d'un compte utilisateur sans

privilèges qui dispose des autorisations nécessaires pour accéder à toutes les fonctions App

Orchestration et ajouter et modifier des objets. Ce compte ne doit pas faire partie du groupe



Administrateurs du domaine. Ce compte n'a pas besoin d'être le même que celui utilisé pour

l'installation et la configuration du serveur de configuration App Orchestration.

Remarque : lors de l'ajout des comptes d'administrateur à App Orchestration dans un environnement

comportant plusieurs domaines, assurez-vous que les comptes sont membres d'un groupe universel ou global

dans le domaine utilisateur. Si le compte est membre d'un groupe local du domaine, App Orchestration ne

reconnaît pas le compte et, par conséquent, n'autorise pas le compte à ouvrir une session sur la console Web.

Pour de plus amples informations sur la configuration et les autorisations requises pour ces comptes

utilisateur, ainsi que les autres comptes utilisateur utilisés par App Orchestration pour configurer et gérer

des machines, consultez le document Informations d'identification utilisées dans App Orchestration 2.6.

Configurer le système de licences Citrix

Le système de licences Citrix 11.12.1 est requis pour configurer le serveur de configuration App

Orchestration ainsi que les Delivery Controller, les machines de session et les serveurs StoreFront que

vous souhaitez déployer. Si vous utilisez une version antérieure du système de licences Citrix, App

Orchestration ne peut pas valider le serveur pendant la configuration des paramètres globaux.

Pour les sites de mise à disposition qui utilisent des contrôleurs exécutant XenApp 6.5 Feature Pack 4,

spécifiez le serveur de licences à l'aide du nom de domaine complet ou d'une adresse IPv4. Si vous

utilisez une adresse IPv6, App Orchestration ne peut pas valider le serveur et créer le site de mise à

disposition.

Pour plus d'informations sur les étapes de déploiement, l'obtention des fichiers de licences et la gestion

de votre serveur de licences, consultez la rubrique Système de licences Citrix 11.12.1 dans Citrix

eDocs.

Configurer les ressources de calcul

Les ressources de calcul comprennent les hyperviseurs et réseaux virtuels et machines qui forment la

base de votre déploiement App Orchestration. Ces ressources vous permettent de déployer des

machines de session à la demande à l'aide du provisioning intégré et d'utiliser l'isolement réseau pour

offrir des ressources privées aux locataires.

App Orchestration prend en charge l'utilisation des produits suivants pour créer les réseaux virtuels et

les machines dont vous avez besoin pour votre déploiement :

• Citrix CloudPlatform 4.2.1

• Citrix XenServer 6.2

• VMware vSphere ESX 5.5

• VMware vSphere ESX 5.1

• Microsoft SCVMM 2012 R2

• Microsoft SCVMM 2012 SP1


http://support.citrix.com/proddocs/topic/licensing-11121/lic-licensing-11121.html



Pour utiliser l'isolement réseau dans votre déploiement, vous devez créer les réseaux virtuels suivants :

• Réseau de gestion de contrôleur partagé

• Réseau de gestion de groupe de mise à disposition partagé

• Gestion de réseau privé, pour chaque locataire qui requiert un accès privé aux applications et

bureaux hébergés

En outre, ces réseaux doivent être nommés.

Important : vous devez fournir ces noms lorsque vous configurez les paramètres globaux App Orchestration.

Dans App Orchestration, les noms de réseau sont sensibles à la casse. Lorsque vous configurez les

paramètres globaux, entrez les noms tels qu'ils sont configurés pour vos ressources de calcul.

Pour obtenir des informations supplémentaires sur ces réseaux ainsi que des instructions pour les créer

et les nommer, consultez le document Méthodes d'isolation dans App Orchestration 2.6 Méthodes.

Pour de plus amples informations sur l'utilisation de Citrix CloudPlatform pour provisionner des

machines dans votre déploiement App Orchestration, consultez Utilisation de Citrix CloudPlatform pour

provisionner des machines de session à la demande.

Configurer NetScaler Gateway

App Orchestration prend en charge l'utilisation de NetScaler Gateway 10.1 ou 10.5 pour fournir un

accès distant sécurisé et un équilibrage de charge pour les serveurs StoreFront dans votre déploiement

App Orchestration. Si vous souhaitez utiliser NetScaler Gateway dans votre déploiement, consultez les

informations suivantes avant le déploiement :

• Consultez le document Configuration de l’équilibrage de charge NetScaler 10.1 avec StoreFront 3.0

et NetScaler Gateway pour App Orchestration 2.6 ou Configuration de l’équilibrage de charge

NetScaler 10.5 avec StoreFront 3.0 et NetScaler Gateway pour App Orchestration 2.6. Ces

documents fournissent des informations détaillées sur les exigences et les instructions nécessaires

à l'intégration de NetScaler Gateway avec App Orchestration.

• Passez en revue les considérations en matière de sécurité comme décrit dans la section

Planification de la sécurité avec NetScaler Gateway de Citrix eDocs.








http://support.citrix.com/proddocs/topic/netscaler-gateway-101/ng-planning-for-security-con.html



Authentification LDAP pour NetScaler Gateway

Lors de la configuration de l'authentification LDAP pour NetScaler Gateway afin de vérifier les comptes

utilisateur dans Active Directory, un compte utilisateur est entré dans le paramètre de nom unique de

liaison administrateur pour lier NetScaler Gateway au serveur LDAP et rechercher l'utilisateur. Citrix

recommande fortement d'utiliser un compte utilisateur sans privilèges disposant d'une autorisation de

nom unique de liaison dans Active Directory. N'utilisez pas un compte administrateur pour ce paramètre.

Préparer le serveur de base de données

Dans un déploiement App Orchestration, le serveur de base de données héberge les bases de données

de journalisation et de configuration d'App Orchestration. Si vous le souhaitez, il peut également

héberger les bases de données pour les sites de mise à disposition que vous déployez.

Préparez le serveur de base de données avant d'installer App Orchestration. Vous devez fournir des

informations sur ce serveur lorsque vous installez le serveur de configuration App Orchestration et que

vous déployez des sites de mise à disposition, des machines de session et des groupes de serveurs

StoreFront. Ensuite, créez une exception de pare-feu comme décrit dans la section « Tâche 1 : créer

une exception de pare-feu » à la page 30.

Lorsque vous installez le serveur de configuration App Orchestration, vous êtes invité à fournir un nom

de déploiement de service. Ce nom est utilisé pour créer la base de données de configuration. Si vous

souhaitez utiliser une base de données existante pour votre déploiement App Orchestration, vous devez

spécifier le nom de cette base de données en tant que nom du déploiement de service. Si vous entrez

un nom de base de données qui n'existe pas sur le serveur de base de données, la base de données

est créée automatiquement.

Serveurs de base de données pris en charge

App Orchestration prend en charge les serveurs de base de données suivants :

• Microsoft SQL Server 2014 éditions Express, Standard et Enterprise

• Microsoft SQL Server 2012 éditions Express, Standard et Enterprise

•

Prise en charge de la mise en miroir de base de données

Pour la base de données de configuration, App Orchestration prend en charge l'utilisation de bases de

données mises en miroir et non mises en miroir.

Si vous souhaitez utiliser des bases de données en miroir dans votre déploiement, tenez compte de ce

qui suit :

• Lors de la planification de la haute disponibilité ou de la récupération d'urgence pour la base de

données de configuration, n'oubliez pas que App Orchestration prend uniquement en charge

l'utilisation de la mise en miroir de la base de données et la fonctionnalité AlwaysOn à ces fins.



• Si vous spécifiez une base de données qui n'existe pas encore lors de l'installation du serveur de

configuration App Orchestration, la base de données ne peut pas être mise en miroir. Le programme

d'installation n'effectue aucune configuration de mise en miroir de bases de données ou ne crée

aucune base de données qui prenne en charge la mise en miroir par défaut.

• Pour utiliser une base de données mise en miroir avec le déploiement, créez la base de données

mise en miroir avant de déployer le serveur de configuration App Orchestration, et assurez-vous que

la base de données est vide. Lorsque vous êtes invité à entrer le nom de déploiement du service lors

de l'installation du serveur de configuration, entrez le nom de cette base de données.

Pour de plus amples informations sur l'utilisation de bases de données mises en miroir avec App

Orchestration, reportez-vous à Configuration de la mise en miroir de base de données dans App

Orchestration 2.6.

Prise en charge des groupes de disponibilité AlwaysOn SQL Server

Pour la base de données de configuration, App Orchestration prend en charge l'utilisation de groupes de

disponibilité AlwaysOn SQL Server. Si vous voulez utiliser cette fonctionnalité dans votre déploiement,

référez-vous à la section « Étapes détaillées pour configurer un groupe AlwaysOn pour App

Orchestration » de Haute disponibilité App Orchestration.


Lors de l'installation et de la configuration du serveur de base de données pour votre déploiement,

assurez-vous que les conditions suivantes sont remplies :

Mode d'authentification L'authentification Windows est activée.

TCP Activé, ainsi que toutes les adresses IP

appropriées dans le Gestionnaire de configuration

SQL Server.

Fournisseur PowerShell SQL Installé. Ce fournisseur est inclus avec SQL

Management Studio.

Service SQL Server Browser Activé et configuré pour s'exécuter

automatiquement.

Instance SQL Server Activé et configuré pour s'exécuter

automatiquement.



http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-high-availability.pdf



Pare-feu Autorisez les connexions entrantes sur le serveur

de base de données à partir des autres serveurs

dans votre déploiement App Orchestration. De

plus, vous devez activer les exceptions de

pare-feu pour l'instance SQL Server Browser et

l'instance SQL Server. Consultez la section «

Tâche 1 : créer une exception de pare-feu » à la

page 30.

Autorisations du compte utilisateur Le compte utilisateur avec lequel App

Orchestration est installé doit disposer du rôle

Sysadmin pour créer les bases de données et les

comptes requis durant l'installation du serveur de

configuration App Orchestration. Pour de plus

amples informations sur les comptes utilisateur et

les autorisations, reportez-vous au document

Informations d'identification utilisées dans App

Orchestration 2.6.

Sécurité de la base de données À des fins de sécurité, assurez-vous que le

compte NetworkService du serveur de

configuration App Orchestration dispose de

l'autorisation en écriture sur la base de données.

Tâche 1 : créer une exception de pare-feu

Pour vous assurer que le serveur de base de données peut communiquer avec les autres serveurs dans

votre déploiement App Orchestration, créez une exception de pare-feu Windows sur le serveur de base

de données qui autorise les connexions avec les autres serveurs.

1. Sur le serveur de base de données, cliquez sur Démarrer > Outils d'administration > Pare-feu

Windows avec fonctions avancées de sécurité.

2. Dans le panneau de gauche, cliquez sur Règles de trafic entrant.

3. Cliquez avec le bouton droit sur Règles de trafic entrant et sélectionnez Nouvelle règle.

L'assistant de nouvelle règle entrante apparaît.

4. Sur la page Type de règle, sélectionnez Programme, puis cliquez sur Suivant.

5. Sur la page Programme, sélectionnez Au programme ayant pour chemin d'accès, puis cliquez

sur Parcourir.

6. Recherchez et sélectionnez le fichier exécutable de SQL Server, puis cliquez sur Ouvrir. En

général, ce fichier se trouve sur C:\Program Files\Microsoft SQL

Server\MSSQL11.nominstance\MSSQL\Binn\sqlservr.exe.





7. Sur la page Action, sélectionnez Autoriser la connexion, puis cliquez sur Suivant.

8. Sur la page Profil, sélectionnez Domaine, Privé et Public.

9. Sur la page Nom, entrez un nom pour la règle et cliquez sur Terminer.

Préparer le serveur de configuration App Orchestration

Le serveur de configuration App Orchestration héberge le moteur de configuration App Orchestration et

la console de gestion Web.

Citrix vous recommande d'installer App Orchestration sur les serveurs qui contiennent de nouvelles

installations de systèmes d'exploitation Microsoft Windows Server pris en charge. Pour mettre à niveau

les serveurs exécutant App Orchestration 2.5 vers la version 2.6, consultez le document Guide de mise

à niveau pour App Orchestration 2.6. N'essayez pas de mettre à niveau des serveurs exécutant des

versions d'App Orchestration antérieures à la version 2.5. De plus, ne joignez pas de serveurs exécutant

des versions antérieures d'App Orchestration à un déploiement exécutant App Orchestration 2.6.


Le serveur que vous préparez en tant que serveur de configuration App Orchestration doit répondre aux

conditions suivantes :

Matériel Processeurs double cœur, 2.6 GHz ou supérieur

3 Go de RAM au minimum

50 Go d'espace disque minimum

OS L'un des suivants :

Windows Server 2008 R2 SP1

Windows Server 2012 R2 (édition Standard, Enterprise

ou Datacenter).

Niveau fonctionnel du domaine Windows Server 2008 R2

Versions Windows Management

Framework et PowerShell

En fonction de votre système d'exploitation :

Version 3.0. Windows Management Framework est

disponible en téléchargement sur le site Web de

Microsoft

http://www.microsoft.com/en-us/download/details.aspx?id=34

595.

Version 4.0

Version .NET Framework Version 4.5







Communication à distance

PowerShell

Activé. Consultez la section « Configurer la stratégie de groupe

App Orchestration » à la page 22.

Service Windows Update Activé.

Certificats SSL Un certificat de serveur signé par votre autorité de certification

de domaine est requis pour le déploiement du serveur de

configuration. Reportez-vous au document Configurer SSL

pour App Orchestration 2.6.

Dossier Temp du système Doit être accessible en écriture par le compte Service réseau.

Accès Internet Activé. Le programme d'installation accède à Windows Update

pour vérifier que la version complète de .NET Framework 4.5

est installée et installer les mises à jour .NET, si nécessaire.

Navigateur Web (pour l'accès à la

console de gestion Web)

Internet Explorer 10 ou 11

Important : lors de la préparation du serveur de configuration pour l'installation d'App Orchestration,

assurez-vous que les dernières mises à jour et derniers correctifs ont été appliqués au système d'exploitation

du serveur et aux logiciels antivirus, et qu'aucun logiciel non approuvé n'est installé sur le serveur.

Séquence des tâches de préparation pour Windows Server 2008 R2 SP1

Si vous préparez un serveur exécutant Windows Server 2008 R2 SP1 en tant que serveur de

configuration, utilisez la séquence de tâches suivantes pour garantir un déploiement transparent du

serveur de configuration :

1. Installez le système d'exploitation et appliquez toutes les mises à jour et correctifs requis.

2. Installez .NET Framework version 4.5.

3. Installez Windows Management Framework 3.0, qui inclut Windows PowerShell 3.0.

4. Installez le certificat de serveur requis pour l'installation du serveur de configuration.

5. Joignez le serveur au domaine de ressources partagé.

6. Vérifiez que les paramètres de stratégie de groupe décrits dans la section « Configurer la stratégie

de groupe App Orchestration » à la page 22 ont été appliqués à l'unité d'organisation racine App

Orchestration du domaine de ressources partagé pour votre déploiement. Pour plus d'informations

sur les unités d'organisation requises, consultez la section « Préparer vos domaines Active

Directory » à la page 19.

Important : si vous associez le serveur de configuration au domaine de ressources partagé et que vous

activez la communication à distance PowerShell avant d'installer Windows Management Framework 3.0 et





que vous mettez à niveau vers PowerShell 3.0, l'installation de App Orchestration peut échouer. Si cela se

produit, exécutez la commande suivante, puis recommencez l'installation :

winrm delete http://schemas.microsoft.com/wbem/wsman/1/config/plugin?Name=Microsoft.ServerManager

Système d'exploitation client et navigateur pris en charge par la console de

gestion

Pour gérer votre déploiement, App Orchestration comprend une console de gestion Web. La console est

hébergée par défaut sur le serveur de configuration, mais vous pouvez également exécuter la console

sur d'autres ordinateurs dans votre environnement. Pour exécuter la console, App Orchestration prend

en charge les navigateurs Web et systèmes d'exploitation suivants :

Windows

Navigateur

Web

Windows 7 (32

bits et 64 bits)

Windows 8 (32

bits et 64 bits)

Windows 8.1

(32 bits et 64

bits)

Windows

Server 2008

R2 SP1

Windows

Server 2012

R2

Internet

Explorer 10

X X X

Internet

Explorer 11

X X X

Mozilla Firefox

24

X X

Google

Chrome 30

X X

Mac OS et Apple iOS

Navigateur Web Mac OS X (10.8) Apple iOS 7 (iPad uniquement)

Mozilla Firefox 24 X

Google Chrome 30 X

Apple Safari pour iOS X

Considérations relatives à Internet Explorer 11

Si vous prévoyez d'utiliser Internet Explorer 11 avec la console Web App Orchestration, effectuez les

tâches suivantes pour vous assurer que la console Web fonctionne de manière cohérente :

Désactivez la saisie semi-automatique afin d'empêcher les accès non autorisés à la console.

Outre la mémorisation des entrées précédentes pour les formulaires et les URL, la saisie

semi-automatique mémorise entrées pour les noms d'utilisateur et les mots de passe. Pour éviter tout



accès non autorisé à la console Web App Orchestration en raison du stockage des informations

d'identification, Citrix vous recommande de désactiver la saisie semi-automatique sur tous les

ordinateurs sur lesquels Internet Explorer 11 est utilisé pour accéder à la console Web. Pour ce faire,

effectuez les opérations suivantes :

1. À partir de l'écran Démarrer, cliquez sur Paramètres > Panneau de configuration > Options

Internet.

2. Cliquez sur l'onglet Contenu, puis sous Saisie semi-automatique, cliquez sur Paramètres.

3. Décochez la case à cocher Noms d'utilisateur et mots de passe sur les formulaires et

cliquez sur OK.

Ajoutez la console Web en tant que site approuvé. Étant donné que la console Web utilise

JavaScript, Internet Explorer 11 peut empêcher l'exécution de la console Web. Pour vous assurer que la

console Web s'exécute de manière cohérente, ajoutez l'adresse URL de console Web à la liste des sites

de confiance. Pour ce faire, effectuez les opérations suivantes :

1. À partir de l'écran Démarrer, cliquez sur Paramètres > Panneau de configuration > Options

Internet.

2. Cliquez sur l'onglet Sécurité, puis sélectionnez la zone de sécurité Sites de confiance.

3. Cliquez sur Sites et entrez l'adresse URL de la console Web. L'URL par défaut est

https://FQDN-du-AOConfigSvr/camconsole.

Préparer les Delivery Controller et les machines de session

Plates-formes prises en charge

• XenApp 7.6 et XenDesktop 7.6

• XenApp 6.5 Hotfix Rollup Pack 5

Important : si vous disposez d'un déploiement XenDesktop 7.5 utilisé avec une version précédente de App

Orchestration, vous pouvez continuer à utiliser ce déploiement avec App Orchestration 2.6. Toutefois, vous ne

pouvez pas modifier la configuration des serveurs dans ce déploiement. Pour utiliser l'ensemble des

fonctionnalités de App Orchestration 2.6, Citrix recommande de mettre à niveau votre déploiement

XenDesktop 7.5 vers XenDesktop 7.6.


Les serveurs vous préparez en tant que Delivery Controller et machines de session doivent répondre

aux conditions suivantes :

Matériel Processeurs double cœur, 2.6 GHz ou supérieur

3.0 Go de RAM minimum

50 Go d'espace disque minimum



OS

(XenApp 7.6 et XenDesktop 7.6)

Delivery Controller :

Windows Server 2008 R2 SP1 avec PowerShell 4.0

Windows Server 2012 R2 (édition Standard, Enterprise ou

Datacenter).

Machines de session :

Windows XP SP3 (32 bits uniquement), avec PowerShell

2.5

Windows 7 SP1 (32 bits et 64 bits), avec PowerShell 4.0

Windows 8 (32 bits et 64 bits)

Windows 8.1 (32 bits et 64 bits)


Windows Server 2012, avec PowerShell 4.0

Windows Server 2012 R2

OS

(XenApp 6.5 HRP5)


Niveau fonctionnel du domaine Windows Server 2008 R2

Windows Server 2012

Version .NET Framework Version 4.5. Si .NET Framework n'est pas installé avant le

déploiement de la machine, App Orchestration Install Center

installe le logiciel automatiquement.

Remarque : pour les machines de session exécutant Windows 2008

R2 ou une version antérieure, assurez-vous que .NET Framework

3.5.1 est installé avant d'exécuter App Orchestration Install Center.



Versions Windows Management

Framework (WMF) et

PowerShell

Version 4.0.

Pour Windows 7, Windows Server 2008 R2 SP1 et Windows

Server 2012, le package WMF 4.0 est inclus dans le dossier

Setup\ProductMedia\CloudAppManagement\Support\PowerShell4\

sur le support d'installation d'App Orchestration. Si WMF 4.0 n'est

pas installé avant le déploiement de la machine, App Orchestration

Install Center installe le logiciel automatiquement. Éventuellement,

vous pouvez télécharger le package à partir du site Web de

Microsoft sur

http://www.microsoft.com/en-us/download/details.aspx?id=40855.

Important : pour les machines de session exécutant des systèmes

d'exploitation Windows 7 32 bits, la mise à niveau vers WMF 4.0 peut

rendre inutilisable les fonctions PSSessionConfiguration, ce qui

empêche l'importation de la machine dans un catalogue. Pour éviter

ce problème, exécutez l'applet de commande suivant avant de

procéder à l'installation du Virtual Delivery Agent pour utilisateur

unique :

Register-PSSessionConfiguration –name

Microsoft.PowerShell


PowerShell

Activé. Consultez la section « Configurer la stratégie de groupe

App Orchestration » à la page 22.


Mises à jour automatiques Désactivées sur tous les serveurs préparés en tant que machines

de session.

Rôles Windows Server .NET Framework 3.5.1.

Serveur de base de données Microsoft SQL Server 2012 éditions Express, Standard et

Enterprise

Logiciels Citrix Utilisez App Orchestration Install Center pour installer le logiciel

Citrix approprié sur la machine. Si des produits Citrix sont installés

avant d'utiliser Install Center, App orchestration peut supprimer ou

remplacer ces fichiers. Consultez « Installer App Orchestration »

sur la page 45.




Comptes d'administrateur Un compte d'administrateur de site de mise à disposition est requis

pour le déploiement de sites de mise à disposition dans App

Orchestration. Pour de plus amples informations sur les comptes

utilisateur requis pour le déploiement de sites de mise à disposition

et de machines de session, reportez-vous au document

Informations d'identification utilisées dans App Orchestration 2.6.

Important : lorsque vous ajoutez les Delivery Controller initiaux à un site de mise à disposition ou aux

machines de session d'un catalogue, App Orchestration utilise ces machines pour construire les profils de

machines qui sont utilisés pour évaluer les autres machines qui sont ajoutées au site ou catalogue. Si ces

machines ne correspondent pas au profil pour le site ou le catalogue, elles ne sont pas ajoutées au

déploiement. Par conséquent, chaque machine que vous ajoutez à un site ou catalogue doit disposer des

mêmes éléments suivants : configuration de la machine, système d'exploitation et mises à jour, version du

produit Citrix et applications installées que les premières machines que vous déployez. Pour ajouter des

machines avec différentes configurations, créez un nouveau site de mise à disposition ou catalogue de

machines de session.

Prise en charge de l'agrégation de sites de mise à disposition existants

L'agrégation d'applications et de bureaux permet aux utilisateurs d'accéder aux offres disponibles dans

plusieurs magasins StoreFront à partir d'un point d'accès unique. Grâce à l'agrégation, vous pouvez

ajouter des sites de mise à disposition qui existent déjà dans votre environnement à votre déploiement

App Orchestration.

App Orchestration en charge l'agrégation de sites de mise à disposition existants qui exécutent les

versions suivantes de XenApp ou XenDesktop :

• XenApp 5.0, 6.0 et 6.5

• XenDesktop 5.5, 5.6, 7.0 et 7.1



L'agrégation de sites de mise à disposition exécutant des versions de XenApp ou XenDesktop

antérieures à celles spécifiées dans cette section (telles que Citrix Presentation Server 4.5) n'est pas

prise en charge. Pour obtenir une liste complète de toutes les versions de XenApp et XenDesktop qui

sont prises en charge pour l'agrégation de site de mise à disposition, reportez-vous à la rubrique de

StoreFront Configuration requise pour l'infrastructure dans Citrix eDocs.


http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-system-requirements-server.html



Considérations relatives aux Delivery Controller dans les sites de mise à

disposition privés inter-forêts

Lors de la création d'un site de mise à disposition dans le domaine de ressources privé d'un locataire qui

se trouve dans une forêt différente du domaine de ressources partagé, une relation d'approbation doit

exister entre les Delivery Controller résidant dans le domaine de ressources du locataire et le domaine

de ressources partagé. Vous pouvez créer cette approbation à l'aide de l'une des méthodes suivantes :

• Utiliser le Zero Trust Agent dans le domaine de ressources du locataire et configurer SSL sur les

Delivery Controller. Le Zero Trust Agent facilite la sécurisation des communications entre le serveur

de configuration App Orchestration et le domaine de ressources isolé du locataire. Pour plus

d'informations, reportez-vous aux documents Déploiement du Zero Trust Agent dans App

Orchestration 2.6 et Configuration de SSL pour App Orchestration 2.6

• Établir une approbation à sens unique dans laquelle le domaine de ressources partagé fait

confiance au domaine de ressources du locataire. Cette approbation permet aux agents App

Orchestration qui se trouvent sur les Delivery Controller de s'authentifier auprès du moteur App

Orchestration à l'aide de l'authentification Active Directory intégrée.

Tâche 1 : mettre à jour le composant logiciel enfichable de stratégie de groupe

Citrix pour XenApp 6.5

Étant donné que les serveurs exécutant XenApp 6.5 exécutent par défaut une version antérieure du

composant logiciel enfichable de stratégie de groupe Citrix (version 1.5.0.0), les paramètres de stratégie

de groupe associés à App Orchestration risquent de ne pas s'afficher correctement lorsqu'ils sont

visualisés avec la Console de gestion des stratégies de groupe sur un serveur XenApp 6.5. Pour éviter

ce problème, mettez à jour le composant logiciel enfichable de stratégie de groupe Citrix avec la version

la plus récente fournie avec XenApp 7.6 et XenDesktop 7.6 (version 2.4.0.0). Pour ce faire, effectuez les

opérations suivantes :

1. Sur le support d'installation de XenApp 7.6 et XenDesktop 7.6, localisez le fichier

CitrixGroupPolicyManagement_x64.msi dans le dossier /x64/Citrix Policy.

2. Sur les serveurs XenApp 6.5 de votre déploiement, exécutez le fichier

CitrixGroupPolicyManagement_x64.msi pour mettre à jour le composant logiciel enfichable de

stratégie de groupe Citrix.






Tâche 2 : configurer SSL sur les sites de mise à disposition et les machines de

session

Pour éviter les risques liés à la sécurité, Citrix vous recommande d'utiliser le protocole SSL pour

sécuriser les communications entre les composants suivants :

• Entre les Delivery Controller et les serveurs StoreFront : pour plus d'informations sur la

configuration de SSL pour App Orchestration, consultez le document Configurer SSL pour App

Orchestration 2.6.

• Entre les machines de session et NetScaler Gateway : dans le cadre du déploiement de

NetScaler Gateway dans votre environnement, un certificat SSL signé et, le cas échéant, un

certificat racine approuvé sont requis. Pour les machines exécutant XenDesktop 7.6, XenApp 7.6 ou

XenApp 6.5 FP4, configurez manuellement SSL et installez un certificat SSL signé sur chaque

machine. Si vous utilisez App Orchestration pour agréger des sites de mise à disposition exécutant

XenDesktop 5.6, assurez-vous que les machines de session et les Delivery Controller dans ces sites

disposent des dernières corrections publiques.

Préparer les serveurs StoreFront

StoreFront authentifie les utilisateurs sur les sites hébergeant les ressources et gère les magasins

d'applications et de bureaux auxquels les utilisateurs accèdent à l'aide de Citrix Receiver.


Les serveurs préparés en tant que serveurs StoreFront doivent disposer de la configuration suivante :

Matériel • Processeurs double cœur, 2.6 GHz ou supérieur

• 3.0 Go de RAM minimum

• 50 Go d'espace disque minimum

OS • Windows Server 2008 R2 SP1 avec PowerShell 3.0

• Windows Server 2012 R2 (édition Standard, Enterprise ou

Datacenter)





Version Windows

Management Framework et

PowerShell

En fonction de votre système d'exploitation :

• Version 3.0. Pour Windows Server 2008 R2 SP1, Windows

Management Framework est disponible en téléchargement sur

le site Web de Microsoft


95

• Version 4.0. Pour Windows Server 2012 R2, Windows

Management Framework est inclus dans le dossier

Setup\ProductMedia\CloudAppManagement\Support\PowerSh

ell4\ sur le support d'installation d'App Orchestration.

Éventuellement, vous pouvez télécharger le package à partir

du site Web de Microsoft sur


55.

Niveau fonctionnel du

domaine

• Windows Server 2008 R2


Version .NET Framework • Windows Server 2008 R2 SP1 : .NET Framework 4.5. Ce

fichier exécutable se trouve dans le dossier Support du support

d'installation de App Orchestration.

• Windows Server 2012 : .NET Framework 3.5. Pour plus

d'informations sur l'activation de cette fonctionnalité, veuillez

consulter l'article « Installer ou désinstaller des rôles, services

de rôle ou fonctionnalités » sur le site Web de Microsoft.


PowerShell

Activé. Consultez la section « Configurer la stratégie de groupe App

Orchestration » à la page 22.


Rôles Windows Server • .NET Framework 3.5.1

• Serveur Web (IIS), avec tous les services de rôle par défaut

Certificat SSL Un certificat de serveur signé par votre autorité de certification de

domaine est requis pour le déploiement des serveurs StoreFront.

Reportez-vous au document Configurer SSL pour App Orchestration

2.6.

Serveur de base de données • Microsoft SQL Server 2012 éditions Express, Standard et

Enterprise





http://technet.microsoft.com/fr-fr/library/hh831809.aspx

http://technet.microsoft.com/fr-fr/library/hh831809.aspx





Logiciels Citrix Utilisez App Orchestration Install Center pour installer le logiciel Citrix

approprié sur la machine. Si des produits Citrix sont installés avant

d'utiliser Install Center, App orchestration peut supprimer ou remplacer

ces fichiers. Consultez « Installer App Orchestration » sur la page 45.

Configuration requise par le groupe de serveurs

Dans App Orchestration, vous ajoutez des serveurs StoreFront à un déploiement en créant des groupes

de serveurs. Un groupe de serveurs est une collection d'un ou de plusieurs serveurs StoreFront. Lors de

l'ajout de serveurs StoreFront à votre déploiement, tenez compte des considérations suivantes :

Pour ajouter des locataires, App Orchestration requiert au moins un serveur StoreFront dans le

déploiement. Vous pouvez déployer plusieurs groupes de serveurs StoreFront pour fournir une haute

disponibilité et une capacité à monter en charge.

Les serveurs StoreFront qui sont inclus dans le groupe de serveurs doivent utiliser la même version de

StoreFront. L'ajout de serveurs avec des versions de StoreFront différentes dans le même groupe de

serveurs n'est pas pris en charge.

Considérations de sécurité pour App Orchestration 2.6

Lorsque vous planifiez le déploiement de machines dans votre environnement App Orchestration,

veillez à consulter les meilleures pratiques et recommandations en terme de sécurité pour les produits

Citrix utilisés avec App Orchestration. Consultez les rubriques suivantes dans Citrix eDocs :

• XenApp 7.6 et XenDesktop 7.6: sécurité

• XenApp 6.5 : Scénarios de déploiement et normes de sécurité

• StoreFront 3.0 : Sécuriser votre déploiement StoreFront

• NetScaler Gateway : Planification de la sécurité avec NetScaler Gateway

Pour obtenir les informations les plus récentes sur les normes de sécurité et les produits Citrix,

consultez http://www.citrix.com/security/.

http://support.citrix.com/proddocs/topic/xenapp-xendesktop-76/xad-security-article.html

http://support.citrix.com/proddocs/topic/xenapp/ps-sec-node-wrapper-xa65.html

http://support.citrix.com/proddocs/topic/storefront-30/sf-secure.html

http://support.citrix.com/proddocs/topic/netscaler-gateway-101/ng-planning-for-security-con.html

http://www.citrix.com/security/



Recommandations relatives à SSL

Certains des composants principaux dans votre déploiement App Orchestration (serveur de

configuration, Delivery Controller et serveurs StoreFront) exigent que SSL soit configuré avant d'être

inclus dans le déploiement. Pour obtenir des instructions sur la configuration de SSL pour ces

composants, reportez-vous au document Configurer SSL pour App Orchestration 2.6.

En outre, Citrix recommande d'utiliser le protocole SSL pour sécuriser les connexions avec les autres

composants dans votre déploiement App Orchestration, y compris les appels API, les connexions en

provenance et à destination de la base de données de configuration et la console de gestion Web.

Restreindre les sessions de communication à distance PowerShell

Citrix recommande de limiter l'accès aux sessions de communication à distance PowerShell au groupe

Utilisateurs authentifiés. Cela permet de garantir que les informations d'identification d'administrateur à

usage unique ne sont pas interceptées par un utilisateur malveillant lorsqu'elles sont transmises entre

un agent App Orchestration enregistré et un agent nouvellement installé.

Signatures de sécurité SMB

Citrix recommande d'utiliser des signatures de sécurité SMB côté client et côté serveur pour tous les

serveurs de votre déploiement. Cela permet de garantir que les paquets SMB ne sont pas modifiés lors

du transit entre les serveurs dans votre déploiement. Pour demander des signatures de sécurité SMB,

configurez les paramètres de stratégie de groupe suivants :

Emplacement du paramètre Paramètre de stratégie Valeur du paramètre

Configuration ordinateur >

Paramètres Windows >

Paramètres de sécurité >

Stratégies locales > Options de

sécurité

Client réseau Microsoft :

communications signées

numériquement (toujours)

Activé

Configuration ordinateur >

Paramètres Windows >

Paramètres de sécurité >

Stratégies locales > Options de

sécurité

Serveur réseau Microsoft :

communications signées

numériquement (toujours)

Activé

Techniques de sécurisation renforcée de la machine

Pour réduire les risques de sécurité tels que les attaques « pass the hash », Citrix recommande les

techniques suivantes pour réduire la surface d'attaque sur les machines dans votre déploiement App

Orchestration :

• Utilisez des mots de passe d'accès au compte local uniques. Lors du déploiement de machines

à partir d'une image ou d'un modèle, assurez-vous que chaque machine que vous déployez dispose

d'informations d'identification d'administrateur local uniques. Cela permet d'empêcher un utilisateur




malveillant de réutiliser des informations d'identification obtenues ailleurs afin de compromettre

d'autres machines.

• Limitez l'accès distant des comptes d'administrateurs locaux. Envisagez de supprimer les

privilèges de réseau et d'ouverture de session interactive à distance des comptes qui ne sont pas

des comptes de service locaux, tels que les comptes d'administrateurs locaux. Cette méthode force

les machines à être physiquement gérées ou gérées à distance à l'aide d'un compte de domaine.

Lors de la gestion à distance de machines dans votre déploiement, utilisez des outils et des

méthodes qui ne stockent pas d'informations d'identification en mémoire, telles que l'utilisation d'un

composant logiciel enfichable MMC ou le lancement d'une session de communication à distance

PowerShell (par exemple, Enter-PSSession NomServeur). En outre, les comptes de domaine que

vous utilisez pour gérer les machines doivent posséder uniquement les privilèges requis pour

effectuer les tâches nécessaires. N'utilisez pas de comptes de domaine jouissant d'une grande

confiance pour administrer des machines dont le degré de confiance est plus faible (par exemple,

utiliser un compte d'administrateur de domaine pour gérer un poste de travail client).

Limiter l'accès des comptes utilisateur du locataire

Pour réduire les risques de sécurité sur les machines dans le domaine de ressources partagé, Citrix

recommande d'autoriser uniquement les membres du groupe de service d'orchestration à accéder à ces

machines. Les utilisateurs du locataire ne doivent pas disposer de privilèges d'administrateur local ou

d'administrateur de domaine sur les machines ou composants dans le déploiement App Orchestration.

Les utilisateurs du locataire doivent uniquement pouvoir accéder aux applications et bureaux hébergés

sur ces machines.

Pour limiter l'accès des locataires uniquement aux machines qui leurs sont attribuées de manière

privée, Citrix vous recommande d'utiliser des forêts Active Directory privées pour chaque locataire, de

créer des offres qui utilisent une isolation du site de mise à disposition privé, et d'utiliser des groupes de

serveurs privés pour mettre à disposition des offres aux utilisateurs du locataire. Ces niveaux d'isolation

garantissent que les machines privées des locataires sont maintenues séparées des machines dans le

domaine de ressources partagé, ce qui limite la possibilité pour un utilisateur malveillant d'accéder à

d'autres machines ou données du locataire dans le déploiement.

De plus, pour les machines d'agent de domaine résidant dans un domaine de ressources du locataire,

Citrix recommande d'autoriser uniquement l'accès direct à ces machines aux administrateurs du

fournisseur de services, car ils sont les seuls utilisateurs autorisés à accéder au domaine. Les

utilisateurs du locataire ne doivent pas disposer de privilèges d'administrateur local ou d'administrateur

de domaine sur ces machines.

Isolation de machine de session XenApp

Pour vous assurer que les machines de session exécutant XenApp 6.5 FP4 sont isolées de manière

adéquate dans votre déploiement App Orchestration, Citrix vous recommande de créer des offres qui

utilisent une isolation de site de mise à disposition privé. En utilisant ce niveau d'isolation, les machines

de session et le site de mise à disposition auquel elles sont associées sont connectés au réseau de

gestion privé d'un locataire spécifique et les bureaux et les applications qui sont hébergés sur les

machines sont accessibles uniquement par les utilisateurs du locataire. Étant donné que ces machines



sont allouées de manière privée, et non partagées, le niveau d'isolation permet d'empêcher un

utilisateur malveillant d'obtenir des privilèges élevés sur le site de mise à disposition XenApp par le biais

des machines de session associées.

Mise à niveau des catalogues de machines de session

• Lors de la mise à niveau des catalogues de machines de session, considérez ce qui suit :

• Lors de la mise à niveau de plusieurs machines à l'aide d'un script ou d'un processus automatisé,

assurez-vous que les informations d'identification d'administrateur ne sont pas envoyées aux

machines de session mises à jour. Ceci comprend l'utilisation de l'authentification de base pour la

communication à distance PowerShell.

• Si CredSSP est activé dans votre environnement, les administrateurs ne doivent pas utiliser la

communication à distance PowerShell avec une authentification explicite pour se connecter aux

machines de session.

• N'encodez pas les informations d'identification dans les scripts de mise à jour.

Pour plus d'informations sur la mise à niveau des catalogues de machines de session, consultez la

section Mise à niveau des catalogues de machines de session dans App Orchestration 2.6.

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-smc-upgrade.pdf



Installer App Orchestration

La phase d'installation d'App Orchestration comprend quatre tâches principales :

1. Copier les fichiers téléchargés sur les emplacements appropriés.

2. Installer les composants requis.

3. Installer le logiciel App Orchestration.

4. Effectuer une configuration après l'installation.

Généralités

Comptes et autorisations

Vous aurez besoin des autorisations et comptes suivants :

Un compte sur le site Web de Citrix, pour le téléchargement et l'installation d'App Orchestration.

Autorisation d'installer le package App Orchestration sur le serveur désigné comme serveur de

configuration App Orchestration.

Informations d'identification d'administrateur de la base de données pour la base de données de

configuration SQL Server, pour la configuration post-installation.

Informations d'identification pour créer un objet de stratégie de groupe et le lier à l'unité

d'organisation utilisée pour App Orchestration, de façon à ce que vous puissiez configurer des

stratégies pour la communication à distance PowerShell.

Conditions préalables

Assurez-vous que toutes les machines que vous utiliserez avec App Orchestration sont sous la racine

de l'unité d'organisation pour votre déploiement.

Interlocuteurs

Deux interlocuteurs sont impliqués dans la phase d'installation d'App Orchestration : l'ingénieur de

l'infrastructure et le concepteur du service. Dans votre organisation, ces fonctions peuvent être

effectuées par différentes personnes ou par une personne occupant ces deux fonctions.

L'ingénieur de l'infrastructure fournit les éléments suivants :

Les informations d'identification d'administrateur de la base de données SQL Server

L'unité d'organisation racine App Orchestration dans Active Directory et les informations

d'identification pour cette unité d'organisation

Les certificats SSL requis. Vous avez besoin d'un certificat pour les composants suivants :

o Chaque serveur de configuration App Orchestration

o L'équilibrage de charge de site global



o Chaque groupe de serveurs StoreFront, et l'équilibrage de charge pour chaque groupe de

serveurs

o Chaque NetScaler Gateway

Remarque : vous pouvez utiliser un certificat générique pour le serveur de configuration App Orchestration et

pour plusieurs groupes de serveurs StoreFront dans le même domaine.

Si vous utilisez NetScaler Gateway, vous pouvez réduire les coûts liés au certificat SSL en obtenant

uniquement les certificats pour le serveur de configuration App Orchestration et l'équilibrage de charge de site

global à partir d'une autorité de certification publique. Pour les groupes de serveurs StoreFront, l'équilibrage

de charge pour chaque groupe de serveurs StoreFront et NetScaler, créez votre propre autorité de certification

et utilisez-la pour émettre des certificats approuvés. Sur la couche réseau, sécurisez les communications entre

NetScaler et le VDA, et entre le groupe de serveurs StoreFront et le Delivery Controller, pour vous assurer

qu'elles ne peuvent être interceptées.

Si vous n'utilisez pas NetScaler Gateway, vous pouvez réduire les coûts en utilisant une autorité de

certification publique uniquement pour les certificats du serveur de configuration App Orchestration et de

l'équilibrage de charge pour chaque groupe de serveurs StoreFront.

Le concepteur du service effectue les tâches suivantes :

Installer le logiciel App Orchestration

Effectuer la configuration après l'installation

Pièges à éviter

La meilleure façon d'éviter les écueils durant la phase d'installation est de suivre la Annexe : check-list

d'installation. Vérifiez que :

Les certificats SSL appropriés sont installés.

Le dossier de support App Orchestration est accessible par les serveurs de votre déploiement.

Les réseaux et le routage sont configurés correctement.

Tâche 1 : télécharger le support du produit

Pour préparer des sites de mise à disposition, des machines de session et des groupes de serveurs

StoreFront, App Orchestration accède à un dossier de support produit qui héberge les logiciels Citrix

pour ces composants. Ce dossier peut être local à toutes les machines (recommandé) où sur un lecteur

portable, un partage réseau de n'importe quel type, où tout autre emplacement auquel toutes vos

machines peuvent accéder. Citrix vous recommande de protéger ce dossier avec des contrôles d'accès

appropriés pour empêcher tout accès non autorisé qui pourrait entraîner une altération du fichier ou

l'introduction de programmes malveillants.

Option 1 : App Orchestration 2.6 avec bundle

1. Accédez à la page de téléchargement du Citrix Cloud Provider Pack.

2. Ouvrez une session sur votre compte Citrix et téléchargez App Orchestration 2.6 Bundle.

https://www.citrix.com/downloads/xendesktop/product-software/citrix-cloud-provider-pack.html



3. Décompressez le fichier App_Orchestration_2.6_Bundle.zip dans un dossier de votre choix (par

exemple, AO) qui présentera la structure de dossiers suivante :

Vous n'avez rien d'autre à faire pour créer le dossier du support du produit.

Option 2 : App Orchestration 2.6

1. Accédez à la page de téléchargement du Citrix Cloud Provider Pack.

2. Ouvrez une session sur votre compte Citrix et téléchargez App Orchestration 2.6.

3. Décompressez le fichier App_Orchestration_2.6.zip dans un dossier de votre choix, par exemple,

AO, qui présentera la structure de dossiers suivante :




4. À partir du dossier de l'image d'App Orchestration, développez le dossier Setup :

Setup

ProductMedia

CloudAppManagement

5. Générez le dossier du support produit.

Remarque : le dossier du support produit héberge le support pour App Orchestration et tous les

produits associés requis durant l'installation d'App Orchestration.

Dans ProductMedia, créez les dossiers suivants. Créez le dossier XenApp et ses sous-dossiers si

votre déploiement utilise XenApp 6.5. Créez le dossier XenDesktop si votre déploiement utilise

XenApp 7.6 ou XenDesktop 7.6. Créez le dossier CitrixStoreFront si votre déploiement utilise

StoreFront 3.0.



6. Téléchargez les logiciels appropriés sur le dossier ProductMedia :

Pour ce composant Téléchargez ce fichier

Copiez le fichier téléchargé sur ce dossier

StoreFront 3.0 Accédez à la page de

téléchargement de

StoreFront et

téléchargez

StoreFront 3.0.

Copiez le fichier téléchargé sur le dossier

CitrixStoreFront

XenApp 6.5 Accédez à la page de

téléchargement de

XenApp 6.5 pour

télécharger XenApp

6.5 et à la page

detéléchargement du

HRP 5 pour

télécharger le Hotfix

Rollup Pack 5.

Copiez le logiciel XenApp sur le dossier

XenApp

Copiez le contenu complet du Hotfix Rollup

Pack 5 sur XenApp\XenAppHRP

Copiez le dossier Setup\ProductMedia\CloudApp Management\Support\SQLServer2012 entier vers le dossier XenApp\Support

https://www.citrix.com/downloads/storefront-web-interface.html



https://www.citrix.com/downloads/xenapp.html



http://support.citrix.com/article/CTX141075






XenApp 7.6 et

XenDesktop 7.6

Accédez à la page de

téléchargement de

XenApp où la page

de téléchargement de

XenDesktop et

téléchargez l'édition

Platinum version 7.6.

Copiez le logiciel XenDesktop sur le dossier

XenDesktop

Correctif pour Citrix

Studio 7.6

Téléchargez le

correctif depuis la

page de

téléchargement de la

version x64 ou la

page de


version x86

Décompressez le package .zip téléchargé

Renommez les fichiers .msi téléchargés et

remplacez les mêmes fichiers sous le

dossier XenDesktop :

Pour la version x64

Renommez DStudio760WX64002.msi sur

DesktopStudio_x64.msi et copiez-le sur le

dossier XenDesktop\x64\DesktopStudio

Pour la version x86

Renommez DStudio760WX86002.msi sur

DesktopStudio_x86.msi et copiez-le sur le

dossier XenDesktop\x86\DesktopStudio




https://www.citrix.com/downloads/xendesktop/product-software.html













Correctifs Mise à jour

2 - pour Delivery

Controller 7.6

(version x64)

Téléchargez le

correctif depuis la

page de


version x64



copiez-les sur le dossier XenDesktop :

Renommez BrokerSrvc760WX64002.msi

sur Broker_Service_x64.msi et copiez-le

sur le dossier XenDesktop\x64\Citrix

Desktop Delivery Controller

Renommez

ConfigMgrWOL760WX64002.msi sur

ConfigMgr_WOL_Plugin_x64.msi et

copiez-le sur le dossier

XenDesktop\x64\Citrix Desktop Delivery

Controller

Renommez HostSrvc760WX64002.msi sur

Host_Service_x64.msi et copiez-le sur le

dossier XenDesktop\x64\Citrix Desktop

Delivery Controller

Renommez MCSrvc760WX64002.msi sur

MachineCreation_Service_x64.msi et



Controller

Renommez MonitorPSSI760WX64002.msi

sur Monitor_PowerShellSnapIn_x64.msi

et copiez-le sur le dossier


Controller

Renommez MonitorSrvc760WX64002.msi

sur Monitor_Service_x64.msi et



Controller








Correctifs Mise à jour

2 - pour Delivery

Controller 7.6

(version x86)

Téléchargez le

correctif depuis la

page de


version x86




Renommez BrokerSrvc760WX86002.msi

sur Broker_Service_x86.msi et copiez-le



Renommez





Controller

Renommez HostSrvc760WX86002.msi sur

Host_Service_x86.msi et copiez-le sur le


Delivery Controller

Renommez MCSrvc760WX86002.msi sur

MachineCreation_Service_x86.msi et



Controller

Renommez MonitorPSSI760WX86002.msi

sur Monitor_PowerShellSnapIn_x86.msi



Controller

Renommez MonitorSrvc760WX86002.msi

sur Monitor_Service_x86.msi et copiez-le










Correctif pour

Machine Identity

Service Agent 7.6

Téléchargez le

correctif depuis la

page de


version x64 ou la

page de


version x86



Pour la version x64 :

Renommez MISA760WX64001.msi sur

MachineIdentityServiceAgent_x64.msi et


XenDesktop\x64\Virtual Desktop

Components



MachineIdentityServiceAgent_x86.msi et



Components











Feature Pack 2 - pour

XenDesktop 7.6

Téléchargez le

Feature Pack depuis

la page de

téléchargement de

XenDesktop FP2



remplacez les mêmes fichiers .msi sous le

dossier XenDesktop :

Copiez DesktopDirector_x64.msi et

remplacez

XenDesktop\x64\DesktopDirector\Deskto

pDirector.msi

Copiez DesktopDirector.msi et remplacez

XenDesktop\x86\DesktopDirector\Deskto

pDirector.msi

Renommez GPMx240WX64002.msi sur

CitrixGroupPolicyManagement_x64.msi


XenDesktop\x64\Citrix Policy


CitrixGroupPolicyManagement_x86.msi



Renommez

HDXWMIPROV220WX64001.msi sur

CitrixHDXWMIProvider-x64.msi et



Components\TS

Copiez WMIProxy_x64.msi sur


Components

Copiez WMIProxy_x86.msi sur


Components

Renommez

XDPoshModule760WX64002.msi sur

XDPoshSnapin_x64.msi et copiez-le sur le


Delivery Controller

Renommez


XDPoshSnapin_x86.msi et copiez-le sur le


Delivery Controller

https://www.citrix.com/downloads/xendesktop/product-software/xendesktop-76-feature-pack-2-platinum








XenDesktop 7.6

(suite)

Copiez les fichiers .msp téléchargés sur

XenDesktop\MspHotfixes :

Copiez ICATS760WX64022.msp sur

XenDesktop\MspHotfixes\x64\Virtual

Desktop Components\Server

Copiez ICAWS760WX64022.msp sur


Desktop Components\WorkStation

Copiez ICAWS760WX86022.msp sur





Tâche 2 : installer les composants App Orchestration

Utilisez Citrix App Orchestration Install Center pour installer App Orchestration et préparer le

déploiement de vos machines en tant que sites de mise à disposition, machines de session et serveurs

StoreFront. Pour gagner du temps lors de l'installation du même composant sur plusieurs machines,

vous pouvez installer les composants sur une machine virtuelle, puis créer un modèle de cette machine.

Lorsque vous avez besoin d'une nouvelle machine de ce type, il vous suffit simplement de réutiliser le

modèle plutôt que de répéter les étapes d'installation.

1. Copiez le dossier de l'image App Orchestration 2.6 sur chaque machine préparée.

2. À partir du dossier de l'image, double-cliquez sur Setup.exe pour lancer Citrix App Orchestration

Install Center. La boîte de dialogue Install Center s'affiche.

3. Cliquez sur App Orchestration Configuration Server pour installer le serveur de configuration sur une

ou plusieurs machines.

4. Si vous disposez de domaines qui sont isolés du serveur de configuration serveur App

Orchestration, installez App Orchestration Domain Agent sur une machine dédiée dans chacun

de ces domaines. Pour de plus amples informations sur l'utilisation de domaines isolés, consultez la

section Déploiement du Zero Trust Agent dans App Orchestration 2.6.

Remarque : si vous devez installer le logiciel d'agent de domaine sur plusieurs serveurs et que vous

envisagez de créer un modèle, il vous suffit d'installer le logiciel d'agent de domaine sur le modèle de machine.




N'utilisez pas l'assistant de Configuration du serveur App Orchestration. Vous devrez exécuter l'assistant sur

chaque nouvelle machine que vous créez à partir du modèle.

5. Pour les Delivery Controller, les machines de session et les serveurs StoreFront, créez un modèle

pour chaque type de machine.

a. Créez la première machine du type approprié et installez les logiciels appropriés :

Pour les sites de mise à disposition utilisant XenApp 7.6 ou XenDesktop 7.6, installez le

logiciel XenApp et XenDesktop 7.6 Delivery Controller. L'agent App Orchestration

associé est installé automatiquement.

Pour les sites de mise à disposition utilisant XenApp 6.5, installez le logiciel XenApp 6.5

Controller. L'agent App Orchestration associé est installé automatiquement.

Remarque : si vous y êtes invité, redémarrez la machine. Après le redémarrage de la machine,

redémarrez Install Center et sélectionnez la vignette XenApp 6.5 Controller pour terminer

l'installation.

Pour les machines de session exécutant XenApp 7.6 et XenDesktop 7.6 qui utilisent le

provisioning à la demande, installez la version appropriée du Virtual Delivery Agent sur

chaque machine de session. Pour de plus amples informations, reportez-vous à la

section Provisioning des machines de session à la demande dans App Orchestration 2.6.

Pour les machines de session qui hébergent des offres sur des sites de mise à

disposition utilisant XenApp 6.5, installez le logiciel Hôte de session XenApp 6.5.

Remarque : si vous y êtes invité, redémarrez la machine. Après le redémarrage de la machine,

redémarrez Install Center et sélectionnez la vignette Machines de session appropriée pour

terminer l'installation.

Pour les groupes de serveurs StoreFront, installez le logiciel Citrix StoreFront 3.0.

L'agent App Orchestration associé est installé automatiquement.

b. Supprimez le dossier d'image App Orchestration 2.6 et son contenu de cette machine, et

supprimez-le également de la Corbeille.

Remarque : cette étape est particulièrement importante pour les machines de session, afin d'éviter que le

logiciel d'installation soit disponible pour les sessions utilisateur ultérieures sur ces machines.

c. Arrêtez la machine.

d. Créez une copie complète de la machine virtuelle.

e. Démarrez l'image copiée et exécutez sysprep. Ne redémarrez pas la machine après. Pour de

plus amples informations sur sysprep, reportez-vous à l'article Vue d'ensemble de Sysprep

(Préparation du système) sur le site Web de Microsoft.

Important : si vous créez un modèle de machine de session XenDesktop à utiliser comme modèle d'image

principale VDA pour le provisioning à la demande, ignorez cette étape ; XenDesktop Machine Creation

Services [MCS] ne peut pas provisionner de machines à partir d'un modèle d'image principale sur lequel vous

avez exécuté sysprep.

cd %windir%\system32\sysprep


http://msdn.microsoft.com/fr-fr/library/windows/hardware/hh825209.aspx

http://msdn.microsoft.com/fr-fr/library/windows/hardware/hh825209.aspx



sysprep /generalize /shutdown /oobe

f. Convertissez la machine virtuelle en modèle.

g. Utilisez ce modèle pour créer des machines virtuelles supplémentaires du même type :

Au moins une machine, pour un site de mise à disposition unique exécutant XenApp 7.6

et XenDesktop 7.6 ou XenApp 6.5.

Au moins une machine de session pour l'hébergement d'applications et de bureaux, avec

des machines de session supplémentaires pour fournir, en cas de besoin, plus de

capacité pour les offres.

Au moins une machine exécutant StoreFront 3.0, comprenant un seul groupe de

serveurs StoreFront.

Configurer App Orchestration


Durant la phase de configuration d'App Orchestration, vous aurez besoin des autorisations et des

comptes suivants :

Informations d'identification requises pour l'installation et la configuration du serveur de configuration

App Orchestration, qui doit être un membre du groupe d'administrateurs du serveur d'orchestration.

Informations d'identification en lecture seule pour le domaine utilisateur par défaut (facultatif).


Avant de démarrer la phase de configuration, assurez-vous que vous avez configuré votre

environnement conformément aux instructions contenues dans ce document. Par exemple, vous devez

connaître le nom des domaines de ressources partagés et des domaines utilisateur par défaut, votre

datacenter par défaut et le suffixe DNS externe que les utilisateurs utiliseront pour accéder à leurs

environnements.

Interlocuteurs

En général, la seule personne impliquée dans cette phase est le concepteur du service, qui est

responsable de la configuration d'App Orchestration.

Pièges à éviter

Suivez ces simples règles pour éviter les problèmes durant la configuration :

Après avoir configuré le nom du domaine de ressources et du domaine utilisateur, vous ne pouvez

pas les modifier.



Le niveau fonctionnel du domaine pour tous les domaines de RESSOURCES doit être Windows

Server 2008 R2 ou version ultérieure.

Les noms de réseau sur vos ressources de calcul doivent correspondre exactement aux noms que

vous avez spécifiés dans App Orchestration, sous Résumé des paramètres globaux >

Paramètres avancés > Activer l'isolement réseau.

Tâche 1 : configurer le serveur de configuration App Orchestration

Après avoir installé le logiciel App Orchestration sur le serveur de configuration, vous devez fournir des

informations supplémentaires à propos de votre environnement de déploiement. Le programme

d'installation d'App Orchestration vous invite à entrer les informations suivantes :

Nom de déploiement du service : cette valeur devient le nom de la base de données de

configuration créée par App Orchestration. En outre, App Orchestration crée une base de données

de journalisation pour le déploiement en utilisant le format « NomDéploiementServiceLogging ».

Serveur de base de données : le nom de domaine complet du serveur SQL Server qui héberge les

bases de données de configuration et de journalisation d'App Orchestration.

Groupe Administrateurs : ce groupe contient un compte utilisateur sans privilèges pour

l'administration de votre déploiement App Orchestration. Pour de plus amples informations sur ce

groupe, consultez le document Informations d'identification utilisées dans App Orchestration 2.6.

Certificat SSL : un certificat de serveur signé par votre autorité de certification de domaine est

requis pour sécuriser les connexions avec le serveur de configuration. Pour de plus amples

informations sur l'utilisation de SSL avec App Orchestration, consultez le document Configuration de

SSL pour App Orchestration 2.6.

Informations de déploiement existantes : si vous déployez un serveur de configuration sur un

déploiement App Orchestration existant, entrez uniquement le nom de domaine complet (FQDN) du

serveur. Si vous utilisez à la place l'adresse IP du serveur ou le nom NetBIOS, App Orchestration

affiche un message d'erreur indiquant que le serveur ne peut pas être contacté.

Tâche 2 : configurer les paramètres globaux

Après la configuration initiale, utilisez la console Web App Orchestration pour configurer les paramètres

globaux pour le déploiement. Vous devrez fournir les informations suivantes :

Domaine de ressources partagé et domaine utilisateur par défaut : le domaine de ressources

partagé contient l'unité d'organisation racine où le serveur de configuration et toutes les ressources

qui seront partagées entre plusieurs locataires résident. Le domaine utilisateur par défaut contient

les unités d'organisation dans lesquelles les comptes utilisateur des locataires qui utilisent des

ressources partagées résident. Vous pouvez spécifier des domaines différents pour les ressources

partagées et les comptes utilisateur ou vous pouvez utiliser le même domaine pour les deux. Ces

domaines et l'unité d'organisation racine doivent déjà exister dans votre environnement ; App






Orchestration ne les crée pas. Pour plus d'informations sur ces domaines, veuillez consulter la

section « Préparer vos domaines Active Directory » à la page 19.

Compte de service d'orchestration : il s'agit de l'administrateur App Orchestration principal. Le

compte de service d'orchestration est un compte utilisateur sans privilèges qui doit être membre du

groupe d'administrateurs que vous avez spécifié lors de l'installation. Ce compte ne doit pas

appartenir au groupe Administrateurs du domaine. Le compte de service d'orchestration doit déjà

exister dans votre environnement ; le processus d'installation ne le crée pas. Pour de plus amples

informations sur ce compte, consultez la section « Créez des comptes d'administrateur » à la page

25.

Datacenter par défaut : emplacement par défaut pour les ressources partagées. En général, les

datacenters contiennent des ressources dans le même emplacement géographique. Pour de plus

amples informations sur les datacenters, consultez le document Déploiement d'un environnement

comportant de multiples datacenters dans App Orchestration 2.6.

Licences : nom de domaine complet (FQDN) et port du serveur de licences Citrix dans votre

environnement.

Remarque : si vous utilisez l'adressage IPv6 pour le serveur de licences, entourez l'adresse avec des

crochets lorsque vous la spécifiez pour App Orchestration. Par exemple : [FE80::0202:B3FF:FE1E:8329]

Suffixe DNS externe : suffixe DNS qui est utilisé pour configurer l'adresse NetScaler Gateway.

Isolement réseau et NetScaler Gateway : sélectionnez si vous voulez ou non activer l'isolement

réseau et l'utiliser avec NetScaler Gateway. Si vous activez l'isolement réseau, entrez le nom des

réseaux virtuels que vous avez créés sur vos ressources de calcul. Si vous activez l'utilisation avec

NetScaler Gateway, spécifiez l'adresse correcte pour le boîtier.

Programme d'amélioration de l'expérience utilisateur : sélectionnez si vous voulez prendre part

ou non au Programme d'amélioration de l'expérience utilisateur Citrix (CEIP). Cela vous offre la

possibilité de contribuer à la conception et au développement des produits Citrix. Lorsque vous vous

inscrivez au programme, Citrix collecte des informations anonymes relatives à votre déploiement qui

sont alors utilisées pour améliorer la qualité, la fiabilité et les performances de ses produits.

Définir l'infrastructure d'App Orchestration

L'infrastructure d'App Orchestration fait référence aux datacenters, ressources de calcul, domaines et

configurations d'instance qui fournissent l'isolement réseau et du locataire pour votre déploiement.


App Orchestration dirige ces composants sur un ou plusieurs domaines Active Directory. Avant d'utiliser

App Orchestration, assurez-vous que vous disposez d'au moins un domaine de ressources Active

Directory à utiliser pour les ressources partagées. Si vous envisagez de stocker des comptes utilisateur

dans un autre domaine, créez également ce domaine utilisateur par défaut.





Dans le domaine de ressources partagé, vous devez disposer d'une unité d'organisation avec des

informations d'identification vous donnant un contrôle complet et qui est également capable d'initier une

session de communication à distance PowerShell à tous les serveurs dans ce domaine.

Si vous utilisez un autre domaine utilisateur, vous devez aussi disposer d'informations d'identification

vous permettant de créer des groupes d'utilisateurs Active Directory dans ce domaine.

Les domaines dans App Orchestration peuvent couvrir plusieurs datacenters. Si votre déploiement

comprend plusieurs datacenters, assurez-vous que vous disposez d'un contrôleur de domaine dans

chaque datacenter dans lequel un domaine est utilisé. Le domaine de ressources partagé doit exister

dans tous les datacenters et, par conséquent, doit avoir un contrôleur de domaine dans chaque

datacenter.


Avant de démarrer la phase de définition d'App Orchestration, assurez-vous que :

Les domaines requis existent

Vous disposez d'informations d'identification pour chaque domaine

Vous avez créé les unités d'organisation requises dans chaque domaine

Vous devez également appliquer une stratégie de communication à distance PowerShell pour tous les

domaines de ressources utilisés par App Orchestration. N'oubliez pas d'exécuter gpupdate sur chaque

machine pour appliquer la stratégie.

Autres conditions requises :

Toute ressource de calcul que vous souhaitez utiliser avec App Orchestration

Informations d'identification de ces ressources de calcul pour créer des machines virtuelles, accéder

au stockage et lire les informations de réseau

Serveur de licences Citrix au sein de chaque datacenter. Si vous le souhaitez, vous pouvez utiliser

le même serveur de licences pour tous les domaines dans un datacenter, ou même pour tous les

datacenters.

Interlocuteurs

Deux interlocuteurs sont impliqués dans la phase de définition d'App Orchestration : l'ingénieur de

l'infrastructure et le concepteur du service. Dans votre organisation, ces fonctions peuvent être

effectuées par deux personnes différentes ou par une personne occupant ces deux fonctions.

L'ingénieur de l'infrastructure indique au concepteur du service les datacenters qui sont disponibles,

notamment :

Les ressources de calcul disponibles dans ces datacenters

Les plages d'adresses IP attribuées à ces datacenters

Les périphériques NetScaler Gateway figurant dans ces datacenters



L'ingénieur de l'infrastructure réalise également les tâches suivantes :

Fournit le stockage des ressources de calcul et les détails du réseau

Fournit un serveur SQL Server au concepteur du service à utiliser pour déployer App Orchestration

et d'autres composants Citrix

Fournit les machines sur lesquelles installer le serveur de configuration App Orchestration et le

serveur de licences Citrix

Configure et gère les domaines Active Directory utilisés par App Orchestration, y compris le

domaine de ressources partagé et tout domaine utilisateur du locataire.

Le concepteur du service :

Détient les licences Citrix

Installe le serveur de licences Citrix et les licences de produit sur ce serveur

Installe, déploie et gère les serveurs de configuration App Orchestration

Pièges à éviter

Suivez ces simples règles pour éviter les problèmes durant la phase de définition :

Assurez-vous que chaque machine configurée et déployée par App Orchestration possède la

configuration minimale requise, y compris Microsoft .NET Framework.

Chaque machine sous le contrôle d'App Orchestration requiert la communication à distance

PowerShell. Exécutez la commande winrm quickconfig pour vérifier que la communication à

distance PowerShell fonctionne sur toutes les machines.

Si vous utilisez plusieurs datacenters, assurez-vous que vous pouvez envoyer une requête ping aux

adresses IP dans chaque datacenter à partir du serveur de configuration App Orchestration. Les

problèmes liés au pare-feu ou à la connectivité WAN peuvent empêcher App Orchestration de

fonctionner correctement.

Vue d'ensemble des tâches

1. Assurez-vous que les domaines de ressources partagés et privés et les domaines utilisateur existent

dans votre structure Active Directory. Vérifiez également que ces domaines contiennent les unités

d'organisation requises. Reportez-vous à la section « Préparer vos domaines Active Directory » à la

page 19 et au document Déploiement d'App Orchestration 2.6 dans un environnement Active

Directory complexe.

2. Vérifiez que vous disposez des informations d'identification nécessaires pour ajouter et modifier des

objets dans les domaines partagés et privés. Reportez-vous au document Informations

d'identification utilisées dans App Orchestration 2.6.

3. Définissez des domaines supplémentaires. Si votre déploiement comprend d'autres domaines en

plus des domaines de ressources partagés et des domaines utilisateur (par exemple, des domaines







de locataires privés), vous devez ajouter ces domaines au travers de la console Web App

Orchestration. Reportez-vous au document Déploiement d'App Orchestration 2.5 dans un

environnement Active Directory complexe.

4. Créez des datacenters supplémentaires. En plus du datacenter par défaut, vous pouvez également

créer un datacenter de sauvegarde. Reportez-vous au document Déploiement d'un environnement

comportant de multiples datacenters dans App Orchestration 2.6.

5. Installez et configurez les ressources de calcul que vous allez utiliser pour le provisioning des

machines de session. Reportez-vous aux ressources suivantes :

Provisioning des machines de session à la demande dans App Orchestration 2.6

Utilisation de Citrix CloudPlatform pour provisionner des machines de session à la demande

dans App Orchestration 2.6

Utilisation de Citrix Provisioning Services pour provisionner des machines de session dans App

Orchestration 2.6

Créer des offres de service pour les locataires


Lorsque vous créez un nouveau site de mise à disposition, vous aurez besoin d'un identifiant pour les

paramètres d'emplacement. Cet identifiant doit être membre du groupe d'administrateurs du site de

mise à disposition dans Active Directory, et du groupe d'administrateurs locaux sur les machines

utilisées en tant que contrôleurs du site de mise à disposition. Vous aurez également besoin d'un

identifiant pour les paramètres de la base de données. Vous pouvez utiliser les mêmes identifiants pour

les deux, si vous le souhaitez.

Configuration requise pour les catalogues de machines de session qui

utilisent le provisioning intégré

• Avant de pouvoir créer un catalogue de machines de session qui utilise le provisioning à la

demande, vous devez d'abord créer une ressource de calcul.

• Sur la ressource de calcul, créez une machine virtuelle à utiliser comme modèle pour la création à la

demande de machines sur lesquelles héberger votre service. Le modèle doit inclure les applications,

le système d'exploitation, et la configuration de bureau que vous voulez utiliser pour votre service.

• Le modèle doit être une machine virtuelle démarrable appartenant à un domaine. L'identifiant du

compte de service d'orchestration du domaine de ressources partagé doit être en mesure de se

connecter à ce domaine à l'aide de la communication à distance PowerShell et d'y exécuter des

commandes.

• Le stockage de la ressource de calcul doit avoir suffisamment d'espace libre pour stocker une

réplique complète du modèle de machine virtuelle.








http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-provisioning-services.pdf

http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-provisioning-services.pdf



Configuration requise pour les catalogues de machines de session qui

utilisent le provisioning externe

• Lors de la création d'un catalogue de machines de session avec des machines provisionnées en

externe, la première chose dont vous avez besoin sont les machines que vous souhaitez ajouter au

catalogue. Ces machines peuvent être physiques, virtuelles ou créées via un système de

provisioning.

• Les machines virtuelles doivent être associées à un domaine Active Directory dans lequel le compte

de service d'orchestration peut se connecter aux machines à distance via la communication à

distance PowerShell.

• Le logiciel Citrix approprié doit être installé sur les machines (le Virtual Delivery Agent ou Hôte de

session XenApp 6.5 approprié). Vous pouvez installer ces packages via App Orchestration Install

Center. Pour de plus amples informations, consultez la section « Installer App Orchestration » à la

page 43.

• Si la méthode de provisioning que vous utilisez réinitialise automatiquement les machines après

redémarrage (telle que Citrix Provisioning Services), les logiciels Citrix doivent être installés sur la

machine avant de l'importer dans App Orchestration.

• Si vous importez des machines multi-utilisateur exécutant les services Terminal Server Microsoft,

assurez-vous que le Gestionnaire de licences TS est configuré et fonctionne correctement avant

d'importer les machines dans App Orchestration.

• Le service Windows Update doit être activé dans le Gestionnaire de serveur pour toutes les

machines que vous importez, mais les mises à jour automatiques doivent être désactivées.

Conditions préalables pour les offres

• Avant de créer des offres, vous devez avoir créé un catalogue de machines de session.

• Si le catalogue de machines de session utilise le provisioning à la demande, vous devez attendre

qu'App Orchestration termine la préparation du modèle de VM. Cette opération peut prendre jusqu'à

30 minutes. Vous pouvez contrôler la progression à partir de l'onglet Workflows.

• Si le catalogue de machines de session utilise le provisioning externe, vous devez avoir importé au

moins une machine dans le catalogue avant de créer une offre. Le processus d'importation peut

prendre de 10 à 15 minutes.

Conditions préalables pour les sites de mise à disposition

Avant d'importer des sites de mise à disposition dans App Orchestration, vous avez besoin des

éléments suivants :

• Au moins un serveur SQL Server, et un deuxième serveur (facultatif) à utiliser en tant que serveur

miroir.

• Informations d'identification d'administrateur de base de données SQL Server.



• Au moins une machine qui sera utilisée en tant que Delivery Controller :

o La machine doit être associée au domaine de ressources partagé et le compte de service

d'orchestration configuré dans App Orchestration doit pouvoir se connecter à la machine à l'aide

de la communication à distance PowerShell.

o La machine doit être préparée en tant que contrôleur XenApp 6.5 ou XenApp 7.6 et XenDesktop

7.6 Delivery Controller. Vous pouvez installer ces packages via App Orchestration Install Center.

Ce processus installe également l'agent App Orchestration requis. Pour de plus amples

informations, consultez la section « Installer App Orchestration » à la page 45.

Conditions préalables pour StoreFront

Pour que App Orchestration déploie et gère un groupe de serveurs StoreFront, vous avez besoin :

• D'au moins une machine associée au même domaine de ressources qui a été ajouté au déploiement

à l'aide de la console Web App Orchestration. Pour installer StoreFront sur la machine, utilisez App

Orchestration Install Center. Le processus d'installation installe également l'agent App Orchestration

requis.

• Vous devez également disposer d'un certificat SSL valide pour les adresses DNS de la machine. Le

certificat doit être émis par une autorité de certification approuvée.

• Si plus d'un serveur StoreFront a été déployé, vous devez également disposer d'un équilibrage de

charge configuré pour répartir le trafic Web entre les machines. Cet équilibrage de charge doit

également être configuré pour utiliser SSL.

Interlocuteurs

Deux interlocuteurs sont impliqués dans la phase de définition d'App Orchestration : le stratégiste du

service et le

concepteur du service. Dans votre organisation, ces fonctions peuvent être effectuées par deux

personnes différentes ou par

une seule personne occupant ces deux fonctions.

Le stratégiste du service réalise les tâches suivantes :

• Décide quelles applications et quels bureaux offrir.

• Fournit une estimation du nombre d'utilisateurs censés utiliser ces applications et bureaux.


• Utilise les informations fournies par le stratégiste du service pour préparer les machines ou les

modèles de VM avec le système d'exploitation, les applications et la configuration de bureau

nécessaires pour créer les offres.

• Décide de la technologie FlexCast appropriée à utiliser pour mettre à disposition ces applications et

bureaux auprès des utilisateurs.



• Décide du facteur d'échelle qui détermine le nombre d'utilisateurs qu'un serveur peut accueillir pour

une offre particulière.

• Prépare les sites de mise à disposition et les groupes de serveurs StoreFront pour satisfaire aux

besoins en terme de capacité de chaque datacenter.

• Provisionne un nombre adéquat de machines de session dans chaque datacenter afin de satisfaire

aux besoins en terme de capacité de l'offre.

Pièges à éviter

• Le provisioning des machines de session requiert que la communication à distance PowerShell soit

activée et opérationnelle. Pour vous assurer qu'aucun problème d'environnement n'empêche la

communication à distance PowerShell de fonctionner correctement, exécutez winrm quickconfig

sur les machines de session.

• Vérifiez la connectivité du serveur de configuration App Orchestration avec la machine de session à

l'aide de la communication à distance PowerShell, en utilisant l'identifiant du compte de service

d'orchestration.

• Pour éviter les problèmes liés au DNS qui peuvent se produire entre les machines de session

nouvellement provisionnées et le serveur de configuration App Orchestration, assurez-vous que

vous pouvez exécuter nslookup du serveur de configuration App Orchestration vers les machines de

session et des machines de session vers le serveur de configuration.

• Assurez-vous qu'aucune mise à jour du système d'exploitation ou applicative n'a été appliquée

automatiquement sur les machines de session provisionnées en externe, ou sur le modèle utilisé

pour le provisioning à la demande. Désactivez le service Windows Update afin d'empêcher

l'installation automatique des mises à jour, et désactivez tous les programmes de mise à jour

applicatifs sur ces machines.

• Vous pouvez activer les mises à jour Windows et d'autres mécanismes de mise à jour applicative sur

les Delivery Controller et les serveurs StoreFront.

• App Orchestration nécessite que toutes les machines de session soient configurées de façon

identique, y compris les matériels et logiciels installés. Par conséquent, App Orchestration

n'importera pas une machine qui est différente de la machine modèle.

Tâche 1 : créer un nouveau site de mise à disposition

Un site de mise à disposition est composé d'au moins un Delivery Controller. Lorsque vous créez un

nouveau site de mise à disposition,

l'assistant de mise à disposition vous invite à entrer les informations suivantes :

• Le nom du site, le modèle de licence et la version du produit Citrix à installer sur les machines que

vous souhaitez déployer en tant que Delivery Controller. Vous pouvez sélectionner XenApp 6.5 ou

XenDesktop 7.6. Un site de mise à disposition sur lequel l'un de ces produits est installé

fonctionnera uniquement avec des machines de session qui exécutent le même produit. Par



exemple, si les Delivery Controller d'un site de mise à disposition exécutent XenDesktop 7.6, seules

les machines de session exécutant XenDesktop 7.6 peuvent joindre le site de mise à disposition afin

de délivrer des applications et bureaux hébergés.

• Les serveurs que vous souhaitez déployer en tant que Delivery Controller dans le site, y compris le

domaine de ressources et le datacenter dans lequel ils doivent résider. App Orchestration requiert

au moins un Controller dans un site de mise à disposition.

• Le groupe d'administrateurs du site de mise à disposition et le compte d'administrateur du site pour

le site de mise à disposition. Le compte d'administrateur du site est un compte utilisateur sans

privilèges qui doit être membre du groupe d'administrateurs du site de mise à disposition. Ce compte

ne doit pas appartenir au groupe Administrateurs du domaine. Le groupe d'administrateurs du site

de mise à disposition et le compte d'administrateur du site doivent déjà exister dans votre

environnement ; App Orchestration ne les crée pas. Pour de plus amples informations sur les

privilèges d'administrateur du site de mise à disposition dans les domaines de ressources partagé et

domaines de ressources des locataires, veuillez consulter le document Informations d'identification

utilisées avec App Orchestration 2.6.

• Le serveur de base de données, les informations d'identification et les noms des bases de données

de site à créer (configuration, journalisation et de surveillance). Pour de plus amples informations

sur les privilèges requis pour l'utilisateur de la base de données du site de mise à disposition,

consultez le document Informations d'identification utilisées dans App Orchestration 2.6.

Lors de la spécification des détails de la base de données pour le site de mise à disposition, Citrix

recommande d'utiliser des bases de données distinctes pour chaque type de base de données. Cela

vous permet de créer des protocoles de sauvegarde et de récupération appropriés pour chaque base de

données, et d'empêcher des interruptions en raison d'un point de défaillance unique. Par défaut, App

Orchestration crée des bases de données distinctes pour les données de journalisation, de

configuration et de surveillance du site. Par exemple, pour un site de mise à disposition appelé « Site1

», App Orchestration crée la base de données de configuration « Site1 », la base de données de

journalisation « Site1Logging » et la base de données de surveillance « Site1Monitoring ». En outre,

App Orchestration utilise par défaut le même serveur de base de données pour les trois bases de

données. Vous pouvez accepter les valeurs par défaut ou spécifier des serveurs et des noms différents

pour chaque base de données. L'option « Inscrire ce site dans le Programme d'amélioration de

l'expérience utilisateur » est sélectionnée par défaut.

Remarque : si vous inscrivez le site de mise à disposition au programme d'amélioration de l'expérience

utilisateur, vous pourrez uniquement le désactiver dans Desktop Delivery Controller via un applet de

commande PowerShell, car App Orchestration ne vous autorise pas à le désactiver dans Config Server.

Une fois que vous avez terminé l'assistant, App Orchestration lance des workflows pour réaliser les

tâches suivantes.

• Évaluer la configuration de machine des contrôleurs et créer un profil. App Orchestration utilise ce

profil pour évaluer les autres Delivery Controller que vous ajoutez au site. Si les nouveaux Delivery

Controller ne correspondent pas au profil, App Orchestration ne les ajoute pas au site. Par

conséquent, tous les Delivery Controller que vous ajoutez à un site doivent être configurés de façon






identique, notamment la configuration matérielle, le système d'exploitation et les mises à jour

logicielles.

• Créer le site de mise à disposition et y associer les Delivery Controller.

Vous pouvez contrôler ces workflows à l'aide de l'onglet Workflows dans la console Web App

Orchestration.

Agréger un site de mise à disposition existant

L'agrégation est le moyen par lequel plusieurs instances d'applications ou de bureaux hébergés

provenant de plusieurs sites de mise à disposition sont présentées aux utilisateurs avec une seule icône

lorsqu'ils accèdent à leur site StoreFront à l'aide de Citrix Receiver. Par exemple, si Microsoft Word est

proposé sur plusieurs sites de mise à disposition, les utilisateurs voient une seule icône pour Microsoft

Word lorsqu'ils se connectent à leur site StoreFront.

Pour plus d'informations sur l'agrégation de ressources, consultez la rubrique Haute disponibilité et

configuration multisite de StoreFront dans Citrix eDocs.

Pour de plus amples informations sur les versions de XenApp et XenDesktop prises en charge par

StoreFront pour l'agrégation d'un site de mise à disposition, consultez la rubrique Configuration requise

pour l'infrastructure dans Citrix eDocs.

Tâche 2 : créer un catalogue de machines de session

Cette étape se compose des tâches suivantes :

1. À partir de la console Web App Orchestration, créez un catalogue de machines de session.

2. Ajoutez les serveurs que vous avez préparés comme premières machines de session au catalogue

à l'aide du provisioning intégré ou externe.

Créer un catalogue avec le provisioning intégré

Pour de plus amples informations sur l'utilisation du provisioning intégré dans votre déploiement App

Orchestration, consultez le document Provisioning des machines de session à la demande dans App

Orchestration 2.6. Ce guide fournit des informations supplémentaires et des instructions détaillées pour

provisionner des machines de session à la demande à l'aide du provisioning intégré.

Créer un catalogue pour des machines provisionnées en externe

À l'instar des sites de mise à disposition, vous pouvez utiliser la console Web App Orchestration pour

exécuter l'assistant de catalogue de machines de session.

Si vous choisissez de créer un catalogue pour des machines provisionnées en externe, l'assistant vous

invite à entrer les informations suivantes :

• Nom du catalogue et type de système d'exploitation pour les machines de session qu'il contient.

Kommentar [GM1]: integrated not on demande in the link

http://support.citrix.com/proddocs/topic/storefront-30/sf-plan-ha.html

http://support.citrix.com/proddocs/topic/storefront-30/sf-plan-ha.html

http://support.citrix.com/proddocs/topic/storefront-30/sf-system-requirements.html

http://support.citrix.com/proddocs/topic/storefront-30/sf-system-requirements.html





• Type de Delivery Controller avec lequel les machines fonctionnent pour l'hébergement d'offres pour

les locataires (XenApp 7.6 et XenDesktop 7.6 ou XenApp 6.5). Le type de contrôleur que vous

spécifiez détermine le produit Citrix requis et validé par App Orchestration sur les machines de

session que vous ajoutez au catalogue. Par exemple, si vous spécifiez XenDesktop 7.6 en tant que

type de contrôleur, App Orchestration va vérifier que le Virtual Delivery Agent est installé sur les

machines de session qui sont ajoutées au catalogue.

• Nombre d'utilisateurs autorisés à accéder à chaque machine avant qu'elle ne soit considérée

comme saturée. Vous pouvez également autoriser App Orchestration à inclure l'UC et la mémoire

dans ses calculs pour déterminer la charge du serveur.

Ajouter des machines de session au catalogue

Pour ajouter des machines de session à un catalogue de machines provisionnées en externe, vous

pouvez utiliser un autre assistant. Cet assistant vous invite à entrer le nom du catalogue de machines de

session, du domaine de ressources et du datacenter dans lequel la machine de session va résider.

Vous pouvez également spécifier le nom des machines de session que vous souhaitez ajouter au

catalogue. App Orchestration requiert l'ajout d'au moins une machine de session pour créer les offres,

mais vous pouvez ajouter jusqu'à 20 machines en une seule fois. Le déploiement de plus de 20

machines entraîne une surcharge des ressources du serveur de configuration App Orchestration, ce qui

provoque l'expiration des workflows avant que les machines ne puissent terminer le processus de

provisioning.

Important : lorsque vous spécifiez les machines de session que vous souhaitez ajouter au catalogue,

assurez-vous que les machines ne sont pas membres d'un catalogue de machines existant dans un site de

mise à disposition qui a été créé en dehors d'App Orchestration. Lorsqu'App Orchestration ajoute des

machines de session à un catalogue, App Orchestration suppose que les machines sont disponibles et

peuvent être attribuées aux sites de mise à disposition que vous créez dans la console Web App

Orchestration. App Orchestration ne peut pas vérifier si les machines de session que vous voulez ajouter sont

déjà attribuées à d'autres déploiements XenDesktop. Si vous créez des offres et des abonnements qui utilisent

les ressources hébergées sur des machines de session qui sont déjà allouées à d'autres déploiements

XenDesktop, les utilisateurs ne pourront pas lancer des sessions sur ces machines lorsqu'ils tentent d'accéder

à leurs abonnements.

Une fois que vous avez terminé l'Assistant Ajouter des machines de session, App Orchestration lance

un workflow qui réalise les tâches suivantes :

• Évaluer la configuration de machine de la machine de session et créer un profil. App Orchestration

utilise ce profil pour évaluer les autres machines de session que vous ajoutez au catalogue. Si les

nouvelles machines de session ne correspondent pas au profil, App Orchestration ne les ajoute pas

au catalogue. Par conséquent, toutes les machines de session que vous ajoutez au catalogue

doivent être configurées de façon identique, notamment la configuration matérielle, le système

d'exploitation, les mises à jour du système et les applications installées. Si vous souhaitez ajouter

des machines de session qui ont, par exemple, une application différente installée, vous devez les

ajouter à un catalogue différent.

• Ajouter la machine de session au catalogue.



Vous pouvez contrôler ces workflows à l'aide de l'onglet Workflows dans la console Web App.

Tâche 3 : ajouter un groupe de serveurs StoreFront

Dans cette étape, vous utilisez la console Web App Orchestration pour créer un groupe de serveurs

StoreFront et spécifier les serveurs que vous souhaitez ajouter. Un groupe de serveurs se compose

d'au moins un serveur StoreFront. App Orchestration requiert au moins un serveur StoreFront dans le

déploiement pour mettre des offres à la disposition des utilisateurs du locataire.

Comme avec les sites de mise à disposition et les Delivery Controller, vous ajoutez les serveurs

StoreFront à votre déploiement à l'aide d'un assistant. L'assistant vous invite à entrer les informations

suivantes :

• Nom du groupe de serveurs, certificat SSL, et URL d'équilibrage de charge. StoreFront requiert

qu'un certificat SSL soit installé sur chaque machine avant le déploiement. Pour de plus amples

informations sur les exigences relatives à StoreFront, consultez la section « Préparer les serveurs

StoreFront » à la page 39. Lors de la saisie de l'URL de l'équilibrage de charge, assurez-vous que

l'adresse URL que vous entrez est correcte. Si vous modifiez l'adresse URL ultérieurement, vous

devez supprimer le groupe de serveurs entier et le redéployer avec la nouvelle URL.

• Noms des serveurs StoreFront que vous souhaitez ajouter au groupe.

• Domaine de ressources et le datacenter dans lequel les serveurs résident.

Une fois que vous avez terminé 'assistant, App Orchestration lance des workflows pour réaliser les

tâches suivantes :

• Évaluer la configuration de machine des serveurs et créer un profil. App Orchestration utilise ce

profil pour évaluer les autres serveurs StoreFront que vous ajoutez au groupe. Si les nouveaux

serveurs StoreFront ne correspondent pas au profil, App Orchestration ne les ajoute pas au groupe.

Par conséquent, tous les serveurs StoreFront que vous ajoutez à un groupe de serveurs doivent être

configurés de façon identique, y compris la version de StoreFront, le système d'exploitation et les

mises à jour logicielles.

• Créer le groupe de serveurs et y associer les serveurs StoreFront.

Vous pouvez contrôler ces workflows à l'aide de l'onglet Workflows dans la console Web App.

Tâche 4 : créer une offre

Cette étape consiste à offrir des applications et bureaux (hébergés sur des machines de session)

auxquels les locataires peuvent s'abonner.

Pour créer des offres, vous utilisez la console Web App Orchestration pour spécifier les applications et

bureaux que vous voulez inclure et le niveau d'isolation auquel vous voulez fournir l'offre aux locataires.

Le niveau d'isolation que vous sélectionnez dépend si vous souhaitez créer une offre qui utilise des

machines partagées ou des machines dédiées à un seul locataire. Pour de plus amples informations sur

ces niveaux d'isolation, consultez le document Méthodes d'isolation dans App Orchestration 2.6.




Délivrer des offres de service aux locataires


Pour ajouter un locataire, vous devez posséder un domaine utilisateur et un domaine de ressources

dans Active Directory, et tous les deux doivent être ajoutés à App Orchestration au travers de la console

Web. Le domaine utilisateur et le domaine de ressources peuvent être le même domaine. Vous pouvez

utiliser le domaine de ressources partagé en tant que domaine utilisateur et domaine de ressources.

• Dans le domaine utilisateur, vous devez disposer des informations d'identification d'un utilisateur qui

peut résoudre d'autres comptes utilisateur dans ce domaine.

• Dans le domaine de ressources, vous devez disposer des informations d'identification d'un

utilisateur qui peut déplacer les machines entre les unités d'organisation Active Directory dans ce

domaine.


Avant d'ajouter des locataires, assurez-vous que vous connaissez :

• Les détails du domaine de ressources et du domaine utilisateur.

• Les modes d'isolation de StoreFront et NetScaler Gateway que vous souhaitez utiliser pour ce

locataire.

• L'adresse NetScaler Gateway, si le client utilise un NetScaler Gateway privé.

• Le nom du réseau de gestion privé du locataire, si le locataire utilise l'isolement réseau. Ce dernier

doit correspondre au nom configuré dans la ressource de calcul qui sera utilisée pour les machines

provisionnées pour ce locataire.

• Après l'ajout des locataires, Citrix vous recommande de pré-allouer de la capacité avant de créer

des abonnements.

• Une fois que vous avez pré-alloué la capacité, vous pouvez créer des abonnements. Pour ce faire,

vous devez connaître :

• Les offres auxquelles les utilisateurs veulent s'abonner.

• Le locataire auquel ces utilisateurs appartiennent.

• Le groupe Active Directory dans leur domaine utilisateur qui contient les utilisateurs qui souhaitent

s'abonner à cette offre. Il peut s'agir du groupe d'emplacements ou d'un groupe d'abonnements.

Si vous n'avez pas pré-alloué de capacité, App Orchestration va créer la capacité d'une machine à la

demande.

Interlocuteurs

Trois interlocuteurs sont impliqués dans la phase de mise à disposition d'App Orchestration : le

concepteur du service, l'administrateur du locataire et les abonnés. Dans votre organisation, les



fonctions de concepteur du service et d'administrateur du locataire peuvent être effectuées par deux

personnes différentes ou par une même personne.


• Inclut les locataires en créant leurs unités d'organisation dans Active Directory, leurs utilisateurs et

groupes d'utilisateurs.

• Définit la facturation et le remboursement pour ce locataire.

• Ajoute le locataire dans App Orchestration.

• Demande le nombre prévu d'utilisateurs à l'administrateur du locataire, et en fonction de cette

réponse, pré-alloue la capacité pour que le locataire puisse accéder aux offres.

• Indique à l'administrateur du locataire l'adresse StoreFront dont les utilisateurs ont besoin pour se

connecter et accéder à leurs offres.

L'administrateur du locataire réalise les tâches suivantes :

• Indique au concepteur du service le nombre d'utilisateurs qui va accéder à chaque offre.

• Abonne les utilisateurs aux offres individuelles.

• Dirige les utilisateurs vers l'adresse StoreFront du locataire, soit directement, soit via la configuration

de clients.

L'abonné accède aux offres à l'aide de Citrix Receiver.

Pièges à éviter

Suivez ces simples règles pour éviter les problèmes les plus courants durant la phase de mise à

disposition :

• App Orchestration utilise par défaut le nom du locataire comme nom du réseau isolé. Vérifiez que

vous disposez d'un réseau portant ce nom dans votre infrastructure de virtualisation, ou modifiez le

nom dans App Orchestration lors de l'ajout du locataire.

• Vérifiez également que vous utilisez les modes d'isolation corrects pour StoreFront et NetScaler

Gateway lors de l'ajout d'un locataire. Si nécessaire, vous pouvez modifier ces paramètres

ultérieurement en modifiant le locataire.

• Lorsque vous créez des abonnements ou que vous ajustez la capacité, vous devez suivre l'état de

ces modifications en observant l'onglet workflows ou les notifications du tableau de bord.

• Vous pouvez régler la capacité selon vos besoins, mais n'oubliez pas que App Orchestration doit

exécuter les workflows pour reconfigurer le système de manière à se conformer à l'état souhaité. S'il

n'y a pas assez de groupes de serveurs StoreFront, de sites de mise à disposition ou de machines

de session disponibles, une notification sur le tableau de bord explique comment corriger le

problème.



Tâche 1 : ajouter un locataire et des utilisateurs

Cette étape consiste à ajouter des locataires au système App Orchestration et spécifier les groupes

d'utilisateurs qui accèdent aux offres via StoreFront.

Pour ajouter des locataires, vous utilisez la console Web App Orchestration pour spécifier le domaine de

ressources du locataire et le domaine utilisateur, le datacenter par défaut par le biais duquel les

utilisateurs accèdent aux offres, le niveau d'isolation du site StoreFront du locataire, et si le locataire

accède à un NetScaler Gateway partagé ou privé (si NetScaler Gateway est activé pour le

déploiement). Pour de plus amples informations sur les niveaux d'isolation StoreFront, consultez le


Pour vous assurer que les machines dédiées à l'utilisation exclusive des locataires sont isolées de

manière adéquate, Citrix recommande d'utiliser une forêt Active Directory privée pour chaque locataire,

un réseau de gestion privé, et des offres qui utilisent l'isolation de site de mise à disposition privé. Cela

permet de garantir que les ressources d'un locataire sont isolées des autres locataires et des utilisateurs

des locataires.

Considérations de sécurité

Lors de l'ajout de locataires, à des fins de sécurité, incluez des groupes d'utilisateurs qui contiennent

uniquement les utilisateurs du domaine. Les utilisateurs qui appartiennent au groupe Administrateurs du

domaine ne doivent pas être ajoutés à ces groupes. Cela permet de garantir que les utilisateurs d'un

locataire peuvent accéder uniquement aux machines de session dans le réseau de gestion des

ressources (partagé ou privé). Tenez également compte de ce qui suit :

• N'accordez pas aux utilisateurs ou administrateurs du locataire des autorisations d'administrateur du

domaine dans les domaines Active Directory inclus dans le déploiement.

• Si des autorisations d'administrateur sont accordées à un locataire, assurez-vous que le locataire

dispose de privilèges d'administrateur sur la machine locale uniquement pour les machines de

session attribuées de manière privée. Les locataires ne doivent posséder de privilèges

d'administrateur sur aucun des serveurs ou composants dans le déploiement.

• Vérifiez que les locataires ne sont pas autorisés à accéder aux ressources de calcul dans le

déploiement.

• Vérifiez que les locataires ne sont pas autorisés à ouvrir de session ou administrer des composants

partagés, tels que des boîtiers NetScaler Gateway ou des serveurs StoreFront.

Tâche 2 : ajuster la capacité

Capacité fait référence au nombre de machines de session affectées à des offres et les clients qui y

accèdent. Par défaut, App Orchestration crée une capacité initiale d'une machine.

Après l'ajout des locataires, Citrix vous recommande de pré-allouer de la capacité avant de créer des

abonnements. Vous pouvez régler la capacité selon vos besoins pour héberger plus ou moins d'offres

ou d'utilisateurs.




Dans la console Web App Orchestration, accédez au tableau de bord, cliquez sur l'icône du crayon à

droite de Allocation de la capacité.

Sélectionnez l'offre et spécifiez la capacité souhaitée. App Orchestration estime le nombre d'utilisateurs

qu'une machine peut contenir en fonction des paramètres d'équilibrage de charge, ou si les machines

sont dédiées à un seul utilisateur. Lorsque vous déterminez le nombre de machines à pré-allouer, vous

devez considérer si le catalogue de machines de session utilise des machines regroupées ou allouées

de manière statique.

• Pour les machines allouées de manière statique, vous devez pré-allouer le nombre de machines

requises pour prendre en charge tous les utilisateurs qui utiliseront l'offre.

• Pour les machines regroupées, vous ne devez pré-allouer que le nombre de machines requises

pour prendre en charge les utilisateurs simultanés de l'offre.

Tâche 3 : abonner le locataire à une offre

Cette étape consiste à créer un abonnement pour un locataire de façon à ce que les utilisateurs du

locataire puissent accéder à une offre spécifique via StoreFront.

Pour créer un abonnement, vous utilisez la console Web App Orchestration pour spécifier l'offre, le

locataire et les groupes d'utilisateurs à inclure. Le processus d'abonnement d'un locataire à une offre

implique la création d'un groupe de mise à disposition en fonction du niveau d'isolation défini pour l'offre.

Ce groupe de mise à disposition limite l'accès à l'offre, et garantit que seuls les utilisateurs spécifiés

peuvent accéder à l'offre via StoreFront.

Important : lorsque vous abonnez des utilisateurs à des offres, assurez-vous qu'ils sont membres de groupes

globaux d'utilisateurs du domaine. Cela garantit que seuls les utilisateurs dans le domaine utilisateur du

locataire sont autorisés à accéder aux offres du locataire. L'utilisation de groupes d'utilisateurs universels ou

de groupes locaux de domaines pour les abonnements peut permettre à des utilisateurs externes au domaine

utilisateur du locataire d'être membres de ces groupes et les autoriser à accéder aux offres du locataire.

Pour de plus amples informations sur les niveaux d'isolation des groupes de mise à disposition,

consultez le document Méthodes d'isolation dans App Orchestration 2.6.

Tâche 4 : déployer des fonctionnalités en libre-service pour le locataire

(facultatif)

Lorsque vous déployez App Orchestration, vous pouvez choisir d'intégrer CloudPortal Services

Manager 11.5. Cette option de déploiement vous permet de fournir des offres App Orchestration en

libre-service via le panneau de configuration Web Services Manager. Les locataires peuvent administrer

eux-mêmes les offres auxquelles ils ont souscrit et leurs utilisateurs peuvent demander l'accès à ces

offres quand ils en ont besoin.

Pour autoriser Services Manager à communiquer avec votre déploiement App Orchestration, vous

devez effectuer les tâches suivantes :

1. Téléchargez CloudPortal Services Manager 11.5.1 à partir du site Web de Citrix.


https://www.citrix.com/welcome.html?resource=/downloads/cloudportal/product-software/cloudportal-services-manager-11



2. Installez le service Web Hosted Apps and Desktops sur le serveur de configuration App

Orchestration.

3. Configurez le service Hosted Apps and Desktops à partir du panneau de configuration Services

Manager.

Vous pouvez utiliser le panneau de configuration pour gérer les offres et provisionner le service aux

locataires. Pour permettre aux utilisateurs des locataires de s'abonner aux offres, configurez

l'approbation du workflow pour le locataire.

Lorsque vous activez cette intégration, les consoles Web App Orchestration et Services Manager

assument des rôles spécifiques concernant les tâches d'administration que vous réalisez dans votre

déploiement. Utilisez le panneau de configuration Services Manager pour gérer l'intégration des

locataires et l'abonnement des utilisateurs aux offres. Vous utilisez la console Web App Orchestration

pour créer de nouvelles offres, ajouter de la capacité à des offres existantes et gérer les sites de mise à

disposition, les machines de session et les serveurs StoreFront dans votre déploiement.

http://support.citrix.com/proddocs/topic/ccps-115/ccps-install-haad.html

http://support.citrix.com/proddocs/topic/ccps-115/ccps-haad-config.html

http://support.citrix.com/proddocs/topic/ccps-115/ccps-haad-config-offerings.html

http://support.citrix.com/proddocs/topic/ccps-115/ccps-haad-provision.html

http://support.citrix.com/proddocs/topic/ccps-115/ccps-haad-provision.html

http://support.citrix.com/proddocs/topic/ccps-115/ccps-workflow.html



Annexe : check-list d'installation

Cette check-list est un outil pratique conçu pour vous aider à planifier et documenter votre déploiement

App Orchestration. Utilisez cette check-list ainsi que les informations contenues dans ce guide pour

vous assurer que toutes les tâches de préparation sont réalisées.

Cette check-list vous aide à préparer les composants suivants :

• 1 contrôleur de domaine avec un niveau fonctionnel de domaine minimum de Windows Server 2008

R2

• 1 serveur de base de données exécutant une version prise en charge de Microsoft SQL Server

• 1 serveur de licences Citrix

• 1 NetScaler Gateway

• 1 serveur, pour le serveur de configuration App Orchestration

• 1 serveur, pour la machine de session qui va héberger les bureaux et les applications pour les

utilisateurs

• 1 serveur, pour le Delivery Controller qui constitue un site de mise à disposition

• 1 serveur, pour le serveur StoreFront qui constitue un groupe de serveurs StoreFront

Utilisez la colonne Remarques pour enregistrer les détails de vos activités de préparation. Vous devrez

fournir ces informations lorsque vous configurez les paramètres globaux d'App Orchestration.



Domaine de ressources partagé

Effectuez les tâches dans cette section avant d'installer App Orchestration. Vous devrez fournir les

informations ci-dessous lorsque vous configurez les paramètres globaux d'App Orchestration. Pour de

plus amples informations sur les tâches dans cette section, consultez la section « Préparer vos

domaines Active Directory » à la page 19.

Terminé () Tâche Remarques

Créer un domaine à utiliser en tant que

domaine de ressources partagé.

Niveau fonctionnel de domaine minimum :

Windows Server 2008 R2.

Nom du domaine :

Créer un objet de stratégie de groupe qui sera

associé à toutes les machines du domaine de

ressources partagé et configurer les

paramètres suivants :

Définir la stratégie d'exécution PowerShell sur

AllSigned

Configurer la communication à distance

PowerShell

Autoriser le trafic WinRM via le pare-feu

Windows

Autoriser la gestion du serveur distant WinRM

pour tous les serveurs

Autoriser les clients WinRM à faire confiance à

tous les serveurs

Définir la mémoire maximale Windows

Remote Shell sur 1 Go ou plus.

Autoriser un nombre illimité d’environnements

distants par utilisateur.

Pour obtenir des instructions détaillées,

reportez-vous à la section « Configurer la

stratégie de groupe App Orchestration » à la

page 22.

Créer un groupe de sécurité Active Directory

que vous désignez en tant que le groupe de

service d'orchestration (par exemple,

MonDomaine\OrchestrationAdmins).

Nom du groupe :



Terminé () Tâche Remarques

Créer une unité d'organisation en tant qu'unité

d'organisation racine pour App Orchestration.

App Orchestration sera autorisé à créer,

déplacer et supprimer des objets dans cette

unité d'organisation.

Nom de l'unité d'organisation racine :

Créer un compte de service d'orchestration

avec les autorisations suivantes :

• Autorisations en lecture et écriture sur

l'unité d'organisation racine App

Orchestration

• Autorisation d'utiliser la communication

à distance PowerShell pour accéder à

tous les serveurs dans le domaine de

ressources partagé

• Ajouter le compte au groupe de

service d'orchestration

Important : pour des raisons de sécurité,

n'ajoutez pas ce compte au groupe

Administrateurs du domaine.

Nom d’utilisateur :

Mot de passe :

Domaine utilisateur par défaut

Le domaine utilisateur par défaut est l'emplacement dans lequel résident les comptes de service App

Orchestration. Vous pouvez créer un domaine séparé ou vous pouvez désigner le domaine de

ressources partagé à cette fin lorsque vous configurez les paramètres globaux d'App Orchestration.

Terminé ()

Tâche Remarques

Créer un domaine à utiliser en tant que

domaine utilisateur par défaut.

Ce domaine doit avoir un niveau fonctionnel de

domaine minimum de Windows Server 2003.

Nom du domaine :

Créer un compte utilisateur dans le domaine

utilisateur.

Important : pour des raisons de sécurité,

n'ajoutez pas ce compte au groupe

Administrateurs du domaine.


Mot de passe :



Dossier Citrix ProductMedia

Le dossier Citrix ProductMedia contient le logiciel pour App Orchestration et d'autres composants qui

sont requis pour provisionner des sites de mise à disposition, des machines de session et des serveurs

StoreFront. Ce dossier peut être local à toutes les machines (recommandé) où sur un lecteur portable,

un partage réseau de n'importe quel type, où tout autre emplacement auquel toutes vos machines

peuvent accéder. Citrix vous recommande de protéger ce dossier avec des contrôles d'accès

appropriés pour empêcher tout accès non autorisé qui pourrait entraîner une altération du fichier ou

l'introduction de programmes malveillants.

Option 1 : depuis le bundle App Orchestration

Terminé ()

Tâche Remarques

Télécharger App Orchestration 2.6 avec

bundle à partir du site Web de Citrix.

Choisissez App Orchestration 2.6

avec Bundle dans la page de

téléchargement pour :

Citrix Cloud Provider Pack.




Terminé ()

Tâche Remarques

Décompresser le fichier zip

(App_Orchestration_2.6_Bundle.exe) dans

un dossier de votre choix (par exemple, AO)

qui présentera la structure de dossiers

suivante :

Vous n'avez rien d'autre à faire pour

préparer le dossier du support du

produit.

Option 2 : depuis App Orchestration 2.6

Terminé ()

Tâche Remarques

Télécharger App Orchestration 2.6

à partir du site Web de Citrix.

Choisissez App Orchestration 2.6 dans la page

de téléchargement pour :

Citrix Cloud Provider Pack.




Terminé ()

Tâche Remarques

Décompresser le fichier zip

(App_Orchestration_2.6.zip) dans

un dossier de votre choix (par

exemple, AO) qui présentera la

structure de dossiers suivante :

Dans le dossier

/Setup/ProductMedia, créez la

structure suivante :

Dossier CitrixStoreFront Téléchargez StoreFront 3.0 depuis la

page de téléchargement de StoreFront

Copiez le fichier téléchargé sur le dossier

CitrixStoreFront




Terminé ()

Tâche Remarques

Dossier XenDesktop Téléchargez XenDesktop 7.6 depuis la

page de téléchargement de XenDesktop

Copiez le contenu entier sur le dossier

XenDesktop

Correctif pour Citrix Studio 7.6 Téléchargez le correctif depuis la page de

téléchargement de la version x64 ou la

page de téléchargement de la version x86


Pour la version x64

Renommez DStudio760WX64002.msi

sur DesktopStudio_x64.msi et copiez-le

sur le dossier

XenDesktop\x64\DesktopStudio

Pour la version x86

Renommez DStudio760WX86002.msi

sur DesktopStudio_x86.msi et copiez-le

sur le dossier

XenDesktop\x86\DesktopStudio







Terminé ()

Tâche Remarques

Correctifs Mise à jour 2 - pour

Delivery Controller 7.6 (version

x64)

Téléchargez le correctif depuis la page de

téléchargement de la version x64


Renommez les fichiers .msi téléchargés et copiez-les sur le dossier XenDesktop :

Renommez

BrokerSrvc760WX64002.msi sur

Broker_Service_x64.msi et copiez-le sur

le dossier XenDesktop\x64\Citrix


Renommez




XenDesktop\x64\Citrix Desktop

Delivery Controller

Renommez HostSrvc760WX64002.msi

sur Host_Service_x64.msi et copiez-le



Renommez MCSrvc760WX64002.msi

sur MachineCreation_Service_x64.msi



Delivery Controller

Renommez

MonitorPSSI760WX64002.msi sur

Monitor_PowerShellSnapIn_x64.msi et



Delivery Controller

Renommez

MonitorSrvc760WX64002.msi sur

Monitor_Service_x64.msi et copiez-le







Terminé ()

Tâche Remarques

Correctifs Mise à jour 2 - pour

Delivery Controller 7.6 (version

x86)


téléchargement de la version x86



Renommez

BrokerSrvc760WX86002.msi sur

Broker_Service_x86.msi et copiez-le sur



Renommez





Delivery Controller

Renommez HostSrvc760WX86002.msi

sur Host_Service_x86.msi et copiez-le



Renommez MCSrvc760WX86002.msi

sur MachineCreation_Service_x86.msi



Delivery Controller

Renommez

MonitorPSSI760WX86002.msi sur

Monitor_PowerShellSnapIn_x86.msi et



Delivery Controller

Renommez

MonitorSrvc760WX86002.msi sur

Monitor_Service_x86.msi et copiez-le







Terminé ()

Tâche Remarques

Correctif pour Machine Identity

Service Agent 7.6


téléchargement de la version x64 ou la

page de téléchargement de la version x86




MachineIdentityServiceAgent_x64.msi



Components



MachineIdentityServiceAgent_x86.msi



Components






Terminé ()

Tâche Remarques

XenDesktop 7.6 Feature Pack 2 :

télécharger le Feature Pack depuis

la page de téléchargement de

XenDesktop FP2


Renommez les fichiers .msi téléchargés

et remplacez les mêmes fichiers .msi

sous le dossier XenDesktop :

Copiez DesktopDirector_x64.msi et

remplacez

XenDesktop\x64\DesktopDirector\

DesktopDirector.msi

Copiez DesktopDirector.msi et

remplacez

XenDesktop\x86\DesktopDirector\

DesktopDirector.msi


CitrixGroupPolicyManagement_x64

.msi et copiez-le sur le dossier



CitrixGroupPolicyManagement_x86

.msi et copiez-le sur le dossier


Renommez

HDXWMIPROV220WX64001.msi sur

CitrixHDXWMIProvider-x64.msi et



Components\TS

copiez WMIProxy_x64.msi sur


Components

copiez WMIProxy_x86.msi sur


Components





Terminé ()

Tâche Remarques


XenDesktop 7.6 (suite)

Renommez


XDPoshSnapin_x64.msi et copiez-le sur



Renommez


XDPoshSnapin_x86.msi et copiez-le sur



Copiez les fichiers .msp téléchargés sur

XenDesktop\MspHotfixes :

copiez ICATS760WX64022.msp sur


Desktop Components\Server

copiez ICAWS760WX64022.msp sur



copiez ICAWS760WX86022.msp sur



XenApp 6,5 Téléchargez XenApp 6.5 depuis la page

de téléchargement de XenApp 6.5


XenApp

XenApp 6.5 HRP5 Téléchargez XenApp 6.5 HRP5 depuis la

page de téléchargement de XenApp 6.5

HRP5


XenApp/XenAppHRP

Dossier XenApp 6.5 SQL Server

2012

Copiez le dossier Setup\ProductMedia\CloudApp Management\Support\SQLServer2012

entier vers le dossier XenApp\Support







Serveur de base de données

Le serveur de base de données héberge la base de données de configuration d'App Orchestration. Pour

de plus amples informations sur les bases de données prises en charge, reportez-vous à la section

« Préparer le serveur de base de données » à la page 28.

Terminé ()

Tâche Remarques

Préparer un serveur et installer Microsoft SQL

Server 2012 (minimum) :

Joignez le serveur au domaine de ressources

partagé.

Utilisez l'authentification Windows.

Vérifiez que les services d'instance SQL Server

Browser et SQL Server sont activés et

configurés pour démarrer automatiquement.

Activez les connexions TCP à distance.

Autorisez le trafic SQL à traverser le pare-feu

Windows.

Si vous le souhaitez, vous pouvez préparer un

autre serveur SQL Server pour la mise en

miroir afin d'améliorer la disponibilité. Pour plus

d'informations, reportez-vous à Configuration

de la mise en miroir de base de données dans

App Orchestration 2.6. ou si vous voulez

activer un groupe de disponibilité AlwaysOn

SQL Server, reportez-vous à la section

« Étapes détaillées pour configurer un

groupe AlwaysOn pour App Orchestration »

de Haute disponibilité App Orchestration

Nom du serveur de base de données

primaire :

Nom du serveur de base de données

secondaire (facultatif) :

Créer un compte d'administrateur de base de

données SQL.

Ce compte doit être un compte Windows et

utiliser l'authentification Windows. Le compte

que vous utilisez pour installer App

Orchestration doit être autorisé à créer des

bases de données.


Mot de passe :




http://docs.citrix.com/content/dam/docs/en-us/app-orchestration/app-orchestration-2-6/cao-high-availability.pdf



Serveur de licences Citrix

Terminé ()

Tâche Remarques

Préparer un serveur et installer le système de

licences Citrix 11.12.1 conformément aux

instructions du produit.

Nom du serveur de licences :

Installer les licences XenApp ou XenDesktop

Platinum.

NetScaler Gateway

Pour sécuriser l'accès à votre déploiement App Orchestration, NetScaler Gateway vous permet de

configurer des contrôles de stratégie et d'action, tout en autorisant les utilisateurs des locataires

d'accéder aux bureaux et applications dont ils ont besoin. Pour plus d'informations sur l'intégration de

NetScaler Gateway avec App Orchestration, reportez-vous au document Configuration de l’équilibrage

de charge NetScaler 10.1 avec StoreFront 3.0 et NetScaler Gateway pour App Orchestration 2.6 ou

Configuration de l’équilibrage de charge NetScaler 10.5 avec StoreFront 3.0 et NetScaler Gateway pour

App Orchestration 2.6.

Terminé ()

Tâche Remarques

Installer et configurer NetScaler Gateway

conformément aux instructions du produit.

Adresse de la passerelle :







Serveur de configuration App Orchestration

Terminé ()

Tâche Remarques

Préparer un ou plusieurs serveurs à utiliser

comme serveur(s) de configuration App

Orchestration.

Pour la configuration système requise,

consultez la section « Préparer le serveur de

configuration App Orchestration » à la page 31.

Remarque : si vous déployez plusieurs

serveurs de configuration, entrez uniquement le

nom de domaine complet (FQDN) du serveur

lorsque vous y êtes invité. Si vous utilisez à la

place l'adresse IP du serveur ou le nom

NetBIOS, App Orchestration affiche un

message d'erreur indiquant que le serveur ne

peut pas être contacté.

FQDN du serveur principal :

FQDN du serveur de sauvegarde

(facultatif) :

Joindre le ou les serveur(s) au domaine de

ressources partagé.

Installer un certificat SSL valide, signé par une

autorité de certification approuvée, dans le

magasin de certificats de l'ordinateur local.

Pour les déploiements de preuve de concept,

vous pouvez utiliser un certificat générique.

Pour de plus amples informations sur

l'utilisation de SSL avec App Orchestration,

consultez le document Configuration de SSL

pour App Orchestration 2.6.

Nom convivial :





Delivery Controller

Terminé ()

Tâche Remarques

Préparer un ou plusieurs serveurs à utiliser en

tant que Delivery Controller.


consultez la section « Préparer les Delivery

Controller et les machines de session » à la

page 34.

Nom du Delivery Controller principal :

Nom du Delivery Controller de

sauvegarde :

Exécutez App Orchestration Install Center pour

installer le logiciel Citrix approprié sur les

serveurs :

• Pour les sites de mise à disposition

exécutant XenApp 7.6 et XenDesktop

7.6, sélectionnez XenApp et

XenDesktop 7.6 Delivery Controller (et

App orchestration Agent)

• Pour les batteries exécutant XenApp

6.5, sélectionnez XenApp 6.5

Controller (et App Orchestration

Agent)

Pour de plus amples informations, consultez la

section « Installer App Orchestration » à la

page 45.

Joindre les serveurs au domaine de ressources

partagé.



Machines de session

Catalogues à la demande (provisioning intégré activé)

Pour plus d'informations sur la préparation de votre environnement pour le provisioning intégré et pour

activer ce dernier, reportez-vous au document Provisioning des machines de session à la demande

dans App Orchestration 2.6.

Terminé ()

Tâche Remarques

Préparer une ressource de calcul (machines

hôte et de gestion) conformément à la

documentation du produit et aux besoins de

votre organisation.

Lorsque vous créez un catalogue à la demande

dans App Orchestration, vous devez spécifier

les informations suivantes sur la ressource de

calcul :

• Indiquer si la ressource de calcul

exécute XenServer, ESX ou Hyper-V

(type de ressource)

• Un nom convivial qui vous permettra

d'identifier la ressource de calcul

• L'emplacement (URL ou adresse IP) de

la ressource de calcul

• Les informations d'identification de la

ressource de calcul

Type de ressource :

Nom convivial :

Adresse :


Mot de passe :





Terminé ()

Tâche Remarques

À l'aide de la console de gestion pour la

ressource de calcul, créer et configurer une VM

à utiliser en tant que modèle pour les autres

machines de session qui sont ajoutées au

catalogue.

La configuration d'une VM peut inclure :

L'installation du système d'exploitation

invité et des Service Packs ou mises à

jour applicables

La vérification des périphériques

virtuels pour savoir par exemple si les

disques durs sont correctement

configurés

L'installation des outils d'intégration

requis pour optimiser l'interaction avec

la machine hôte

L'installation d'outils tiers tels que des

logiciels anti-virus

L'installation d'applications que vous

voulez inclure dans les offres

Nom de la VM :



Terminé ()

Tâche Remarques

Joindre la VM au domaine pour lequel vous

souhaitez que les machines de session

nouvellement créées soient membres.

Le domaine auquel vous joignez la machine

virtuelle doit disposer d'une stratégie de groupe

qui autorise la communication à distance

PowerShell et définit la stratégie d'exécution.

Pour plus d'informations, reportez-vous à la

section « Configurer la stratégie de groupe App

Orchestration » à la page 22.

La VM doit être membre d'un domaine de

ressources partagé ou d'un domaine qui a une

approbation bidirectionnelle avec le domaine

de ressources partagé. Assurez-vous que le

compte Administrateur du service

d'orchestration (défini dans les paramètres

globaux d'App Orchestration) peut utiliser la

communication à distance PowerShell pour se

connecter à la VM et aux logiciels installés.

Sur la machine virtuelle, dans Paramètres

TCP/IP avancés, configurez les paramètres

suivants pour la connexion au réseau de la VM

:

Dans Suffixe DNS pour cette connexion,

entrez le nom du domaine de ressources

partagé.

Sélectionnez Utiliser le suffixe DNS de cette

connexion dans l’inscription DNS.

Catalogues pour machines provisionnées en externe

Terminé ()

Tâche Remarques



Terminé ()

Tâche Remarques

Préparer une ou plusieurs machines à utiliser

en tant que machines de session.

Toutes les machines à ajouter au catalogue

doivent répondre aux conditions suivantes :

Même configuration matérielle et mêmes

logiciels installés (y compris le système

d'exploitation, les mises à jour installées et les

applications).

Capable d'exécuter le logiciel VDA XenApp 6.5

ou XenDesktop 7.6, conformément à la

configuration système requise pour le produit

Nom de la machine n° 1 :




Joindre les machines au domaine de

ressources approprié.

Si les machines sont partagées entre plusieurs

locataires, joignez-les au domaine de

ressources partagé. Si les machines sont

attribuées à un locataire spécifique, joignez-les

au domaine de ressources privé du locataire.

Nom du domaine de ressources :



Serveurs StoreFront

Terminé ()

Tâche Remarques

Préparer un ou plusieurs serveurs à utiliser en

tant que groupe de serveurs StoreFront.


consultez la section « Préparer les serveurs

StoreFront » à la page 39.

Nom du serveur StoreFront principal :

Nom du serveur StoreFront de

sauvegarde :

Exécutez App Orchestration Install Center pour

installer le logiciel StoreFront 3.0.

Pour de plus amples informations, consultez la

section « Installer App Orchestration » à la

page 45.

Joindre les serveurs au domaine de ressources

partagé.

Installer un certificat SSL valide, signé par une

autorité de certification approuvée, dans le

magasin de certificats de l'ordinateur local.

Pour les déploiements de preuve de concept,

vous pouvez utiliser un certificat générique. Le

certificat doit avoir le même nom convivial sur

tous les ordinateurs.

Nom convivial :

Installer et configurer un équilibrage de charge

pour le groupe de serveurs StoreFront.

Pour de plus amples informations sur la

configuration de l'équilibrage de charge avec

StoreFront, reportez-vous au document

Configuration de l’équilibrage de charge

NetScaler 10.1 avec StoreFront 3.0 et

NetScaler Gateway pour App Orchestration 2.6

ou Configuration de l’équilibrage de charge

NetScaler 10.5 avec StoreFront 3.0 et

NetScaler Gateway pour App Orchestration

2.6.

URL de l'équilibrage de charge :

http://support.citrix.com/article/ctx140598









Paramètres globaux App Orchestration

Après avoir installé le serveur de configuration App Orchestration, vous configurez les paramètres

globaux à l'aide de la console Web App Orchestration. Au cours de ce processus, vous devez spécifier

le datacenter par défaut pour le déploiement et le suffixe DNS externe. Vous devez également choisir

d'activer ou non l'isolement réseau dans votre déploiement.

Dans App Orchestration, les datacenters sont utilisés pour fournir des applications et bureaux hébergés

aux locataires dans des sites géographiquement dispersés et à des fins de basculement. App

Orchestration requiert au moins un datacenter dans le déploiement. Pour de plus amples informations

sur les datacenters, consultez le document Déploiement d'un environnement comportant de multiples

datacenters dans App Orchestration 2.6.

En général, l'isolement réseau doit être activé si vous envisagez de fournir des offres exclusivement à

des locataires spécifiques. Pour de plus amples informations sur l'isolement réseau, reportez-vous au


Terminé ()

Tâche Remarques

Spécifier le nom du datacenter principal. Nom :

Spécifier le suffixe DNS externe.

Le suffixe DNS externe est le domaine de

premier niveau de votre serveur DNS externe.

Ce dernier influence les paramètres par défaut

utilisés pour le routage des connexions, mais il

peut être substitué, si nécessaire.

Exemple : pour un centre de données nommé

ag.fr.masociété.com, le suffixe «

masociété.com » entraîne l'utilisation par défaut

d'un routage des connexions utilisateur vers un

datacenter appelé « fr ».

Suffixe :






Autoriser l'isolement réseau ?

Si vous prévoyez d'activer l'isolement réseau,

vous devez créer et nommer au moins trois

réseaux virtuels sur vos ressources de calcul.

Ces réseaux doivent exister avant de configurer

les paramètres globaux.

Pour obtenir des instructions sur la création et

la dénomination de ces réseaux, reportez-vous

à la documentation du produit relative à votre

solution de virtualisation de serveur.

Important : les noms des réseaux virtuels sont

sensibles à la casse. Lors de la saisie des noms

de réseau dans App Orchestration,

assurez-vous qu'ils correspondent exactement

aux noms configurés sur vos ressources de

calcul.

Oui/Non

Nom du réseau de gestion Delivery

Controller partagé :

Nom du réseau de gestion de groupe de

mise à disposition partagé :

Nom du réseau de gestion privé :



Premier locataire

Terminé ()

Tâche Remarques

Spécifier le nom du locataire. Nom du locataire :

Créer une unité d'organisation dans le domaine

de ressources partagé dans lequel les

machines privées du locataire résident.

Nom de l'unité d'organisation :

Créer le domaine utilisateur du locataire et

ajouter une unité d'organisation dans laquelle

les comptes utilisateur du locataire résident.

Nom du domaine utilisateur :

Nom de l'unité d'organisation :

Créer des groupes d'utilisateurs pour le

locataire dans le domaine utilisateur, sous

l'unité d'organisation utilisateur du locataire.

Ces groupes d'utilisateurs seront utilisés

ultérieurement pour créer des abonnements,

vous devez donc organiser les utilisateurs en

fonction des applications et bureaux que vous

voulez mettre à leur disposition.

Groupe d'utilisateurs n° 1 :




Créez des comptes utilisateur pour les

utilisateurs du locataire et les ajouter aux

groupes d'utilisateurs appropriés.

app orchestration 2 - docs.citrix.com · • forum de discussion app orchestration 2.x : utilisez...

Documents