380 likes | 519 Views
La virtualisation de présentation et de postes de travail dans tout ses états !. WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft. Agenda. Les nouveaux services RDS de Windows Server 2008 R2 VDI vs Sessions? Les différents rôles RDS Bâtir une infrastructure RDS
E N D
La virtualisation de présentation et de postes de travail dans tout ses états ! WIN304Christian-Pierre BELINJérôme MOMBELLIMicrosoft
Agenda • Les nouveaux services RDS de Windows Server 2008 R2 • VDI vs Sessions? • Les différents rôles RDS • Bâtir une infrastructure RDS • Rassembler les différentes briques • Le meilleur des 2 approches… • Q&A
Les évolutions de Terminal Services RemoteApp Accès Web RDP 6.0 RDP 7.0 Connection broker Filtrage applicatif App-V VDI Ferme TS RDP 5.0 Redirection x64 Remote Desktop Services Terminal Services RDP 4.0 Client Web Déport d’affichage Aujourd’hui
Les points clef que propose RDS Applications distantes Experience Full-Fidelity • RDS & VDI – Une solution intégrée • Capitalisation sur Hyper-V™ pour héberger les VMs RemoteApp & Desktop Connection Support d’écrans multiples Un connexion broker unifié RemoteApp & Desktop Web Access Support multimédia & audio bidirectionnel Une seule infrastructure de publication Améliorations sécuritaires pour RD Gateway Accélération graphique pour les appli 3D et le contenu riche Plateforme & Management Nouvelles API, Extensibilité du Connection Broker,Support de PowerShell™, IP virtualisation, RD EasyPrint
Virtualisation de session VS virtualisation d’OS client Hypervisor Client OS n Client OS 1 Client OS Server OS
Pourquoi s’appuyer sur 2 technologies?Sessions Vs VDI • La technologie VDI permet de répondre à certaines limites ou contraintes du modèle « sessions»
Notre vision au travers de RDSUne approche basée sur 2 technologies Infrastructure VDI Infrastructure TS Connection Broker
La solution RDS de Microsoft Et les extensions partenaires Solutions Partenaires R2
RD Session Host • Nouveau nom du serveur Terminal service • C’est le serveur sur lequel sont installées les applications • Installation locale • Installation via App-V • Il propose un accès • Soit à un Bureau virtuel (Remote Desktop) • Soit juste à une application (RemoteApp) • Peut être intégré au sein d’une ferme 2. Le serveur RDSH instancie un contexte de sécurité (session) et démarre l’application RD Session Host Remote Desktop Client 1. L’utilisateur accède à une RemoteApp
RD Virtualization Host • En charge de l’orchestration des VMs VDI • Héberge les VMs • Gère les opérations relatives aux VMs: • Démarrage • Arrêt • Pause • Retour arrière (Snapshot) • Ce rôle est installé via le service du rôle Remote Desktop Virtualization Host (VmHostAgent Service, tsvmhasvc.dll) • Le rôle Hyper-V est installé et utilisé • Le serveur RDVH est pilote par le connection Broker • Collecte les informations sur les VMs afin d’alimenter le Connection Broker • Le serveur RDVH peut être intégrer au sein d’un cluster (LM, QSM, HA…) 3. Le RDCB demande au RDVH de démarrer la VM 4. Le RDVH indique que la VM est accessible Remote Desktop Client RD Virtualization Host 2. Le RDCB détermine la bonne VM 5. Le RDCB (redirecteur) redirige le client vers la VM 1. L’utilisateur demande l’accès à une VM RD Connection Broker & Redirecteur
RD Connection Broker • Il s’agit là encore d’un rôle Remote Desktop qui assure: • Connection Broker • Service de publication • Redirecteur • Les rôles Connection broker & redirecteur peuvent être dissociés • Le serveur peut être mis en haute disponibilité 1. Le RDCB retrouve les ressources et les publie RD Session Host RD Web Access RD Virtualization Host 2. RD Web Access récupère ces informations RD Connection Broker & Publication 3. l’utilisateur clique sur ces informations pour accéder à la ressource 4. L’utilisateur se connecte à la ressource
RD Connection Broker • Installe 2 services • Connection Broker : tssdis • Service de Publication : tscpubrpc • Connection broker • Gère l’ensemble des connexions RDS et RDV • Stocke l’état des sessions dans une base, ce qui permet d’assurer les reconnexions et l’équilibrage de charge • Fait appel au service de « Publication centralisée » afin d’assurer les connexions vers les VM en mode Personnel
Service de Publication • Agrège l’ensemble des programmes RemoteApp depuis les serveurs RDSH • Maintient la liste des VMs en mode Pool et requête l’AD pour les VMs en mode Personnel • Le serveur RD Web Access fait appel à ce service pour obtenir la liste des ressources disponibles pour un utilisateur donné • Recherche les VMs assignées aux utilisateurs pour le compte du Connection Broker • Est à l’écoute sur le port 5504
Le Redirecteur • Il s’agit d’un serveur RDSH configuré pour rediriger les utilisateur (Drain mode) • Transmet les demandes de connexions RDP au Connection Broker et retourne la liste des @ IP reçues du CB • Un redirecteur peut servir à la fois des VMs en mode Pool et Personnel • Les utilisateurs n’ouvrent jamais de session sur le redirecteur, mais doivent tout de même appartenir au groupe local « Remote desktop users » • Le redirecteur étant configuré en « Drain mode », cela implique qu’aucune session RDP ne peut être ouverte sur le redirecteur • Pour les accès en mode administration, mstsc /admin
RD Web Access RD Session Host RD Connexion Broker & Publication • C’est le portail Web utilisé pour publier les ressources aux utilisateurs: • Ces ressources sont filtrées en fonction des habilitations des utilisateurs • Les ressources peuvent être: • Des RemoteApps • Des bureaux virtuels (session) • Des machines virtuelles (VDI) • Et un 4ième type de ressource! • Le portail Web Access est capable d’agréger les ressources provenant de plusieurs sources RD • Le serveur RD Web Access offre l’interface de synchronisation en feed RSS pour les RemoteApp & Desktop Connexion 1. Le RD Web Access retrouve les ressources et les publie RemoteApp & Desktop Connection (windows 7) OU RD Web Access 2. Les clients Windows 7 Synchronisent ces ressources via un flux RSS 2. Les clients accèdent à ces ressources via un portail Web Client RDP
RD Gateway RD Virtualization Host(s) AD / NAP / NPS • Fournit un accès HTTP/s au ressources RDP • Ne remplace pas un VPN ou DirectAccess • Propose des fonctionnalités de sécurité avancées: • Intégration avec NPS (Radius) • Intégration avec NAP • Nouveau: Redirection de périphérique sécurisée • Nécessite des Session Hosts 2008 R2 & VMs Win7 VDI • Nouveau: gestion du consentement RD Session Host 3. Connexion RDP vers les ressources 2. La gateway évalue les stratégies RD Gateway 1. L’utilisateur demande une connexion basée sur HTTPS
1. Accès aux ressources Séquence de découverte 2. Recherche des ressources. Transmet le SID de l’utilisateur pour le filtrage . Voir A Active Directory DMZ 3. Récupère et agrège les ressources depuis les RDSH. Voir B B 4 4. Requête les VMs assignées / utilisateurs 3 LDAP 5. S’il existe une VM assignée, récupère le fichier RDP. RD Connection Broker RDSH WMI 2 5 6. Récupère les VMs en Pool. RD Web Access 7 6 RPC: Port 5504 7. Les RemoteApps sont filtrées en fonction des Security Descriptor définis sur les RDSH. Voir C WMI C A 1 HTTPS A. Le compte machine RDWA doit appartenir au groupe “TS Web Access Computers” du RDCB B. Le compte machine RDCB doit avoir les droits d’appel DCOM et WMI (TerminalServices). Par défaut, le groupe “TS Web Access Computers” a ces droits. C. Le filtrage des remoteApps nécessite que le compte machine du RDCB soit dans le groupe “Windows Authorization Access Group”. Client
Séquence de connexion 1 Début de la connexion RDP à la VM. Voir A. 2 Obtention des @ IP de la machine cible. Le nom d’utilisateur, du domaine et du type de cible sont envoyés. Voir B. 3 RPC 6 B 5 3 Appel au Service de Publication afin d’obtenir les infos sur la VM WMI VMs 4 2 RPC RPC C Récupération des @ IP depuis l’agent sur le RDVH. Voir C. 4 RDV Host RD Redirector 5 Préparation de la VM. A 7 6 Une fois la VM prête pour la connexion, renvoi des @ IP. RDP RD Connection Broker 1 RDP A L’utilisateur doit appartenir au groupe RDU 7 Le client effectue la connexion RDP à partir des @ IP B Le redirecteur doit être dans le groupe “Session Broker Computers” C Le Connection Broker doit appartenir au groupe “TS Web Access Computers” Client
Bâtir une infrastructure RDS • 0 – importance des certificats SSL • 1 – Préparer le serveur RD Session Host & les applicatifs • 2 – Publier les ressources RemoteApp • 3 – Préparer Hyper-V & RD Virtualization Host • 4 – Préparer les OS client des VMs • 5 – Configurer le Redirecteur & le Broker • 6 – Définir les modes d’accès VDI • 7 – Publier les ressources VDI
Etape 0 – Importance des certificats • L’utilisation du RDP signing permet de bénéficier de: • Web Single sign-on • Trusted behaviors • RemoteApp & Desktop Connections • Etc… • Assurez-vous d’avoir des certificats SSL • Pour l’utilisation sur le RD Web Access • Le certificat de la CA Racine déployé • Déploiement du certificat de la CA racine sur le parc client • Pas nécessaire s’il s’agit d’une CA tierce reconnue • Utilisation des GPO pour les clients managés • Déploiement manuel pour les autres
Etape 1 – Préparer le serveur RD Session Host & les applicatifs • Installation du rôle RD Session Host • Configuration des paramètres pour rejoindre une ferme, de sécurité… • La configuration d’un serveur RDSH peut être automatisée via GPO ou script • Installation des applicatifs • Possibilité d’utiliser des packages App-V • Installation de l’agent App-V pour RDS • Des outils permettent de repérer d’éventuel problèmes de compatibilité et de les résoudre: https://connect.microsoft.com/tsappcompat/Downloads.
Etape 2 – Publier les ressources RemoteApp • Utilisation de la console RemoteApp Manager ou de Server Manager • Définition des règles d’accès au RemoteApp • RDP signing • RD Gateway • Création des RemoteApps • Application des règles de filtrage • Définition des méthodes de publication • Création de packages MSI ou RDP pour télédistribution • Publication sur le portail Web / RemoteApp & Desktop Connections
Démo RDSH & la gestion des RemoteApps
Etape 3 – Préparer Hyper-V & RD Virtualization Host • Installation du rôle Hyper-V • Installation du rôle RD Virtualization Host • Combien de VMs ce serveur pourra accueillir ? • Comme pour les sessions, cela dépend: • Des applications au sein des VMs • Des données • De la nature des OS (Windows 7)
Etape 4 – Préparer les OS client des VMs • Les OS Windows XP, Vista et Windows 7 sont supportés • Pour Windows XP et Vista: • Installation des composants d’intégration Hyper-V • Configuration des postes en VDI: • Activer Remote Desktop Service • Ajouter le groupe d’utilisateur VDI dans le groupe RD users • Activer les Remote RPC • Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AllowRemoteRPC from 0 to 1. • Autoriser sur le firewall le flux Remote Service Management • Positionner les permissions RDP • Add the VM Host machine account to the RDP Listener permissions. This must be done by a VB script or a PowerShell script as the UI is not available on client SKUs • The RDVH Server computer account needs the WINSTATION_QUERY, WINSTATION_LOGOFF, and WINSTATION_DISCONNECT permissions on each virtual machine in the virtual desktop pool • Can only be done after domain join • Heureusement, un script permet d’automatiser toutes ces étapes • http://gallery.technet.microsoft.com/ScriptCenter/en-us/bd2e02d0-efe7-4f89-84e5-7ad70f9a7bf0
Etape 5 – Configurer le Redirecteur & le Broker • Les 2 rôles peuvent être séparés • Le Connection broker est un rôle RD • Le redirecteur est en fait un serveur RDSH configuré en tant que redirecteur • Une seule étape pour le configurer • L’assistant de création des postes en VDI gère automatiquement cette étape
Etape 6 – Définir les modes d’accès VDI • Bureau virtuel personnel • Un OS par utilisateur • Poste personnalisable, accès pour des administrateurs • Le contexte utilisateur fait à priori parti de l’OS Bureau virtuel personnel • Bureau virtuel en Pool • Les OS sont partagés et configurés de manière identique • Ce mode n’est pas recommandé pour des administrateurs • Le contexte utilisateur est temporaire Bureau virtuel en Pool
Etape 7 – Publier les ressources VDI • Les machines virtuelles en VDI sont des ressources qui seront vues comme les autres ressources RDS, ie les RemoteApps ou Remote Desktop. • On utilise donc les mêmes méthodes de publication: • Portail Web • RemoteApp & Desktop Connection • L’approche pourra donc au final: • Proposer une vue unifiée aux utilisateurs • Capitaliser sur l’infrastructure RDS existante
Démo Gestion des machines en VDI Publication unifiée
En résumé, les différentes options… Mixez & Choisissez vos options en fonction des besoins de vos utilisateurs
Le meilleur des deux mondes? • RemoteApp for Hyper-V • Publication granulaire d’applications contenues dans une machine virtuelle VDI (OS client) • Simplification de la compatibilité applicative • Application non compatible RDS ou système d’exploitation des postes riches • Fondu de la fenêtre de l’application • Utilisation de la même infrastructure RDS • Supporté pour des VMs de type: • Windows 7 • Windows XP SP3 • Windows Vista SP1
Démo RemoteApp for Hyper-V
Nos premières références Virtualisation de la présentation Lorsqu’il s’agit de moderniser sa plate-forme de publication des applications, le numéro un mondial de l’assurance crédit choisit la simplicité et opte pour Windows Server 2008 R2. À la clé : simplicité de mise en œuvre, facilité de déploiement et économies ! Virtualisation du poste de travail (VDI) Pour limiter l’administration de ses serveurs -aujourd’hui au nombre de 850-, MAAF Assurances opte pour la virtualisation avec Windows 2008 R2 et Hyper-V. Objectif : moins de 100 serveurs d’ici 2010 ! Également à la clé : proposer à ses partenaires bancaires un poste de travail complet et simple à administrer.
Les différentes CAL VDI • La CAL VDI Microsoft a été développée afin de simplifier la gestion des licences des différentes briques de l’infrastructure Windows Virtual Enterprise Centralized Desktop (Windows VECD) Hyper-V, MDOP, SCVMM, and VDI -restricted rights to SCOM, SCCM and RDS All components of Standard Suite, plus unrestricted RDS rights and App-V for RDS $21/device/year OU $53/device/year 3rd Party Products add value to the Microsoft VDI Suite • Two simple SKUs for Microsoft VDI • Simple device based annual subscription model Simple Licensing Both SKUs are significantly cheaper than the competition Enterprise grade features at a low price point in conjunction with partners Excellent Value Application virtualization, integrated management included in base SKU Choice of VDI and session based desktops in premium SKU Comprehensive Technology