La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

22 La virtualisation de présentation et de postes de travail dans tout ses états ! WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft.

Présentations similaires


Présentation au sujet: "22 La virtualisation de présentation et de postes de travail dans tout ses états ! WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft."— Transcription de la présentation:

1

2 22 La virtualisation de présentation et de postes de travail dans tout ses états ! WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft

3 33 Agenda Les nouveaux services RDS de Windows Server 2008 R2 VDI vs Sessions? Les différents rôles RDS Bâtir une infrastructure RDS Rassembler les différentes briques Le meilleur des 2 approches… Q&A

4 44 Déport d’affichage RDP 4.0 Client Web Aujourd’hui RDP 7.0 Connection broker Filtrage applicatif App-VVDI Ferme TS RDP 5.0 Redirectionx64 RemoteApp Accès Web RDP 6.0 Les évolutions de Terminal Services Remote Desktop Services Terminal Services

5 55 Les points clef que propose RDS Experience Full-Fidelity RDS & VDI – Une solution intégrée Applications distantes Capitalisation sur Hyper-V™ pour héberger les VMs Un connexion broker unifié Une seule infrastructure de publication RemoteApp & Desktop Connection RemoteApp & Desktop Web Access RemoteApp & Desktop Web Access Améliorations sécuritaires pour RD Gateway Support d’écrans multiples Support multimédia & audio bidirectionnel Support multimédia & audio bidirectionnel Accélération graphique pour les appli 3D et le contenu riche Plateforme & Management Nouvelles API, Extensibilité du Connection Broker, Support de PowerShell™, IP virtualisation, RD EasyPrint Plateforme & Management Nouvelles API, Extensibilité du Connection Broker, Support de PowerShell™, IP virtualisation, RD EasyPrint

6 66 Hypervisor Client OS Server OS Virtualisation de session VS virtualisation d’OS client Client OS 1 Client OS n

7 77 Pourquoi s’appuyer sur 2 technologies? Sessions Vs VDI La technologie VDI permet de répondre à certaines limites ou contraintes du modèle « sessions»

8 88 Notre vision au travers de RDS Une approche basée sur 2 technologies Connection Broker Infrastructure TS Infrastructure VDI

9 99 La solution RDS de Microsoft Et les extensions partenaires Solutions Partenaires R2

10 10 Les différents rôles RDS Propose un environnement multi-sessions (ex Serveur TS) Héberge les sessions pour les RemoteApp et bureaux virtuels RD Session Host Propose un environnement pour des OS clients virtualisés Héberge les machines virtuelles VDI Répond au pilotage du Connection Broker RD Virtualization Host Assure les rôles de gestionnaire de ferme, publication et routage vers les ressources Agrège les différentes ressources (RemoteApp, VDI en Pool ou personal) Route les utilisateurs vers les bonnes ressources, pilote les serveurs RDVH RD Connection Broker Propose une interface de publication des ressources 2 modes pour recueillir les ressources: Depuis un RDSH ou un CB Possibilité de définir plusieurs sources afin d’agréger les ressources RD Web Access Propose l’accès aux ressources en HTTPS Permet de gérer les scénarii d’usage depuis Internet Intègre des mécanismes sécuritaires pour les postes externes et les flux RD Gateway

11 11 RD Session Host Nouveau nom du serveur Terminal service C’est le serveur sur lequel sont installées les applications Installation locale Installation via App-V Il propose un accès Soit à un Bureau virtuel (Remote Desktop) Soit juste à une application (RemoteApp) Peut être intégré au sein d’une ferme Remote Desktop Client 1. L’utilisateur accède à une RemoteApp 2. Le serveur RDSH instancie un contexte de sécurité (session) et démarre l’application RD Session Host

12 12 RD Virtualization Host En charge de l’orchestration des VMs VDI Héberge les VMs Gère les opérations relatives aux VMs: Démarrage Arrêt Pause Retour arrière (Snapshot) Ce rôle est installé via le service du rôle Remote Desktop Virtualization Host (VmHostAgent Service, tsvmhasvc.dll) Le rôle Hyper-V est installé et utilisé Le serveur RDVH est pilote par le connection Broker Collecte les informations sur les VMs afin d’alimenter le Connection Broker Le serveur RDVH peut être intégrer au sein d’un cluster (LM, QSM, HA…) RD Connection Broker & Redirecteur RD Virtualization Host Remote Desktop Client 1. L’utilisateur demande l’accès à une VM 2. Le RDCB détermine la bonne VM 3. Le RDCB demande au RDVH de démarrer la VM 4. Le RDVH indique que la VM est accessible 5. Le RDCB (redirecteur) redirige le client vers la VM

13 13 RD Connection Broker Il s’agit là encore d’un rôle Remote Desktop qui assure: Connection Broker Service de publication Redirecteur Les rôles Connection broker & redirecteur peuvent être dissociés Le serveur peut être mis en haute disponibilité RD Connection Broker & Publication 1. Le RDCB retrouve les ressources et les publie 2. RD Web Access récupère ces informations RD Web Access 3. l’utilisateur clique sur ces informations pour accéder à la ressource RD Virtualization Host RD Session Host 4. L’utilisateur se connecte à la ressource

14 14 RD Connection Broker Installe 2 services Connection Broker : tssdis Service de Publication : tscpubrpc Connection broker Gère l’ensemble des connexions RDS et RDV Stocke l’état des sessions dans une base, ce qui permet d’assurer les reconnexions et l’équilibrage de charge Fait appel au service de « Publication centralisée » afin d’assurer les connexions vers les VM en mode Personnel

15 15 Service de Publication Agrège l’ensemble des programmes RemoteApp depuis les serveurs RDSH Maintient la liste des VMs en mode Pool et requête l’AD pour les VMs en mode Personnel Le serveur RD Web Access fait appel à ce service pour obtenir la liste des ressources disponibles pour un utilisateur donné Recherche les VMs assignées aux utilisateurs pour le compte du Connection Broker Est à l’écoute sur le port 5504

16 16 Le Redirecteur Il s’agit d’un serveur RDSH configuré pour rediriger les utilisateur (Drain mode) Transmet les demandes de connexions RDP au Connection Broker et retourne la liste IP reçues du CB Un redirecteur peut servir à la fois des VMs en mode Pool et Personnel Les utilisateurs n’ouvrent jamais de session sur le redirecteur, mais doivent tout de même appartenir au groupe local « Remote desktop users » Le redirecteur étant configuré en « Drain mode », cela implique qu’aucune session RDP ne peut être ouverte sur le redirecteur Pour les accès en mode administration, mstsc /admin

17 17 RD Web Access C’est le portail Web utilisé pour publier les ressources aux utilisateurs: Ces ressources sont filtrées en fonction des habilitations des utilisateurs Les ressources peuvent être: Des RemoteApps Des bureaux virtuels (session) Des machines virtuelles (VDI) Et un 4 ième type de ressource! Le portail Web Access est capable d’agréger les ressources provenant de plusieurs sources RD Le serveur RD Web Access offre l’interface de synchronisation en feed RSS pour les RemoteApp & Desktop Connexion RD Connexion Broker & Publication 1. Le RD Web Access retrouve les ressources et les publie 2. Les clients accèdent à ces ressources via un portail Web RD Web Access RD Session Host RemoteApp & Desktop Connection (windows 7) 2. Les clients Windows 7 Synchronisent ces ressources via un flux RSS Client RDP OU

18 18 RD Gateway Fournit un accès HTTP/s au ressources RDP Ne remplace pas un VPN ou DirectAccess Propose des fonctionnalités de sécurité avancées: Intégration avec NPS (Radius) Intégration avec NAP Nouveau: Redirection de périphérique sécurisée Nécessite des Session Hosts 2008 R2 & VMs Win7 VDI Nouveau: gestion du consentement RD Gateway AD / NAP / NPS 1. L’utilisateur demande une connexion basée sur HTTPS 2. La gateway évalue les stratégies RD Virtualization Host(s) RD Session Host 3. Connexion RDP vers les ressources

19 19 Séquence de découverte Client RD Web Access RDSH RD Connection Broker Active Directory DMZ WMI 1 1 HTTPS 1. Accès aux ressources 4 4 LDAP 4. Requête les VMs assignées / utilisateurs S’il existe une VM assignée, récupère le fichier RDP Récupère les VMs en Pool. A A 2 2 RPC: Port Recherche des ressources. Transmet le SID de l’utilisateur pour le filtrage. Voir A A. Le compte machine RDWA doit appartenir au groupe “TS Web Access Computers” du RDCB 3 3 WMI B B 3. Récupère et agrège les ressources depuis les RDSH. Voir B B. Le compte machine RDCB doit avoir les droits d’appel DCOM et WMI (TerminalServices). Par défaut, le groupe “TS Web Access Computers” a ces droits. 7 7 C C 7. Les RemoteApps sont filtrées en fonction des Security Descriptor définis sur les RDSH. Voir C C. Le filtrage des remoteApps nécessite que le compte machine du RDCB soit dans le groupe “Windows Authorization Access Group”.

20 20 Séquence de connexion RD Connection Broker RD Redirector VMs RDV Host Client 3 3 RPC 3 3 Appel au Service de Publication afin d’obtenir les infos sur la VM 5 5 WMI 5 5 Préparation de la VM Une fois la VM prête pour la connexion, renvoi IP. 7 7 RDP 7 7 Le client effectue la connexion RDP à partir IP RDP 1 1 A A 1 1 Début de la connexion RDP à la VM. Voir A. A A L’utilisateur doit appartenir au groupe RDU B B 2 2 RPC 2 2 Obtention IP de la machine cible. Le nom d’utilisateur, du domaine et du type de cible sont envoyés. Voir B. B B Le redirecteur doit être dans le groupe “Session Broker Computers” 4 4 C C RPC 4 4 Récupération IP depuis l’agent sur le RDVH. Voir C. C C Le Connection Broker doit appartenir au groupe “TS Web Access Computers”

21 21 Bâtir une infrastructure RDS 0 – importance des certificats SSL 1 – Préparer le serveur RD Session Host & les applicatifs 2 – Publier les ressources RemoteApp 3 – Préparer Hyper-V & RD Virtualization Host 4 – Préparer les OS client des VMs 5 – Configurer le Redirecteur & le Broker 6 – Définir les modes d’accès VDI 7 – Publier les ressources VDI

22 22 Etape 0 – Importance des certificats L’utilisation du RDP signing permet de bénéficier de: Web Single sign-on Trusted behaviors RemoteApp & Desktop Connections Etc… Assurez-vous d’avoir des certificats SSL Pour l’utilisation sur le RD Web Access Le certificat de la CA Racine déployé Déploiement du certificat de la CA racine sur le parc client Pas nécessaire s’il s’agit d’une CA tierce reconnue Utilisation des GPO pour les clients managés Déploiement manuel pour les autres

23 23 Etape 1 – Préparer le serveur RD Session Host & les applicatifs Installation du rôle RD Session Host Configuration des paramètres pour rejoindre une ferme, de sécurité… La configuration d’un serveur RDSH peut être automatisée via GPO ou script Installation des applicatifs Possibilité d’utiliser des packages App-V Installation de l’agent App-V pour RDS Des outils permettent de repérer d’éventuel problèmes de compatibilité et de les résoudre: https://connect.microsoft.com/tsappcompat/Downloads.

24 24 Etape 2 – Publier les ressources RemoteApp Utilisation de la console RemoteApp Manager ou de Server Manager Définition des règles d’accès au RemoteApp RDP signing RD Gateway Création des RemoteApps Application des règles de filtrage Définition des méthodes de publication Création de packages MSI ou RDP pour télédistribution Publication sur le portail Web / RemoteApp & Desktop Connections

25 25 Démo RDSH & la gestion des RemoteApps

26 26 Etape 3 – Préparer Hyper-V & RD Virtualization Host Installation du rôle Hyper-V Installation du rôle RD Virtualization Host Combien de VMs ce serveur pourra accueillir ? Comme pour les sessions, cela dépend: Des applications au sein des VMs Des données De la nature des OS (Windows 7)

27 27 Etape 4 – Préparer les OS client des VMs Les OS Windows XP, Vista et Windows 7 sont supportés Pour Windows XP et Vista: Installation des composants d’intégration Hyper-V Configuration des postes en VDI: Activer Remote Desktop Service Ajouter le groupe d’utilisateur VDI dans le groupe RD users Activer les Remote RPC Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AllowRemoteRPC from 0 to 1. Autoriser sur le firewall le flux Remote Service Management Positionner les permissions RDP Add the VM Host machine account to the RDP Listener permissions. This must be done by a VB script or a PowerShell script as the UI is not available on client SKUs The RDVH Server computer account needs the WINSTATION_QUERY, WINSTATION_LOGOFF, and WINSTATION_DISCONNECT permissions on each virtual machine in the virtual desktop pool Can only be done after domain join Heureusement, un script permet d’automatiser toutes ces étapes gallery.technet.microsoft.com/ScriptCenter/en-us/bd2e02d0-efe7-4f89-84e5-7ad70f9a7bf0

28 28 Etape 5 – Configurer le Redirecteur & le Broker Les 2 rôles peuvent être séparés Le Connection broker est un rôle RD Le redirecteur est en fait un serveur RDSH configuré en tant que redirecteur Une seule étape pour le configurer L’assistant de création des postes en VDI gère automatiquement cette étape

29 29 Etape 6 – Définir les modes d’accès VDI Bureau virtuel personnel Bureau virtuel en Pool Bureau virtuel personnel Un OS par utilisateur Poste personnalisable, accès pour des administrateurs Le contexte utilisateur fait à priori parti de l’OS Bureau virtuel en Pool Les OS sont partagés et configurés de manière identique Ce mode n’est pas recommandé pour des administrateurs Le contexte utilisateur est temporaire

30 30 Etape 7 – Publier les ressources VDI Les machines virtuelles en VDI sont des ressources qui seront vues comme les autres ressources RDS, ie les RemoteApps ou Remote Desktop. On utilise donc les mêmes méthodes de publication: Portail Web RemoteApp & Desktop Connection L’approche pourra donc au final: Proposer une vue unifiée aux utilisateurs Capitaliser sur l’infrastructure RDS existante

31 31 Démo Gestion des machines en VDI Publication unifiée

32 32 RemoteApp Gestion optimisée en terme de coûts Administration optimisée Meilleur ratio d’utilisation matérielle & logicielle Poste VDI personnel Coût élevé en terme de gestion d’images Accès administrateur Ratio le plus bas en terme d’utilisation HW & SW Meilleur niveau de compatibilité pour les applicatifs Poste VDI en pool Coût intermédiaire pour la gestion des images Administration plus simple que le mode VDI personnel Utilise moins de ressources que le mode VDI personnel Meilleur niveau de compatibilité pour les applicatifs Mixez & Choisissez vos options en fonction des besoins de vos utilisateurs En résumé, les différentes options…

33 33 Le meilleur des deux mondes? RemoteApp for Hyper-V Publication granulaire d’applications contenues dans une machine virtuelle VDI (OS client) Simplification de la compatibilité applicative Application non compatible RDS ou système d’exploitation des postes riches Fondu de la fenêtre de l’application Utilisation de la même infrastructure RDS Supporté pour des VMs de type: Windows 7 Windows XP SP3 Windows Vista SP1

34 34 Démo RemoteApp for Hyper-V

35 35 Tips & Tricks: les erreurs récurrentes Parmi lesquelles Le compte machine du RD Web Access n’appartient pas au groupe « TS Web Access Computers » Le port TCP 5504 n’est pas ouvert sur le firewall Le flux WMI n’est pas autorisé sur le firewall Le server ne peut pas se connecter à l’AD: Workgroup Pas d’accès réseau au DC Pas de trust

36 36 Tips & Tricks: Connection Broker En cas d’architecture redondante (HA) du Connection broker, les rôles RDVH et RDCB ne peuvent être cumulés sur la même machine. Afin d’assurer un bon niveau de support pour les clients légers, il est nécessaire d’activer l’option “Enable redirection for earlier RDC versions” et d’ajouter l’adresse IP du redirecteur. Les 2 principales difficultés remontées sur le déploiement La configuration des VMs en VDI est incorrecte. Le symptôme classique est “Waking Machine” pendant un certain temps. Automatiser la configuration des VMs via les GPO ou des scripts Des utilisateurs qui se plaignent de ne pas pouvoir accéder à leurs machines personnelles. En règle générale, les postes n’ont pas été assignés!

37 37 Nos premières références Lorsqu’il s’agit de moderniser sa plate- forme de publication des applications, le numéro un mondial de l’assurance crédit choisit la simplicité et opte pour Windows Server 2008 R2. À la clé : simplicité de mise en œuvre, facilité de déploiement et économies ! Virtualisation de la présentation Pour limiter l’administration de ses serveurs -aujourd’hui au nombre de 850-, MAAF Assurances opte pour la virtualisation avec Windows 2008 R2 et Hyper-V. Objectif : moins de 100 serveurs d’ici 2010 ! Également à la clé : proposer à ses partenaires bancaires un poste de travail complet et simple à administrer. Virtualisation du poste de travail (VDI)

38 38 Questions

39

40 40 $21/device/year $53/device/year La CAL VDI Microsoft a été développée afin de simplifier la gestion des licences des différentes briques de l’infrastructure Les différentes CAL VDI


Télécharger ppt "22 La virtualisation de présentation et de postes de travail dans tout ses états ! WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft."

Présentations similaires


Annonces Google