date

WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft La virtualisation de présentation et de postes de travail dans tout ses états ! WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft

Agenda Les nouveaux services RDS de Windows Server 2008 R2 VDI vs Sessions? Les différents rôles RDS Bâtir une infrastructure RDS Rassembler les différentes briques Le meilleur des 2 approches… Q&A

Les évolutions de Terminal Services RemoteApp Accès Web RDP 6.0 RDP 7.0 Connection broker Filtrage applicatif App-V VDI Ferme TS RDP 5.0 Redirection x64 Remote Desktop Services Terminal Services RDP 4.0 Client Web Déport d’affichage Aujourd’hui

Les points clef que propose RDS RDS & VDI – Une solution intégrée Applications distantes Experience Full-Fidelity Capitalisation sur Hyper-V™ pour héberger les VMs RemoteApp & Desktop Connection Support d’écrans multiples Un connexion broker unifié RemoteApp & Desktop Web Access Support multimédia & audio bidirectionnel Une seule infrastructure de publication Améliorations sécuritaires pour RD Gateway Accélération graphique pour les appli 3D et le contenu riche Plateforme & Management Nouvelles API, Extensibilité du Connection Broker, Support de PowerShell™, IP virtualisation, RD EasyPrint

Virtualisation de session VS virtualisation d’OS client Hypervisor Client OS 1 Client OS n Client OS Server OS

Pourquoi s’appuyer sur 2 technologies? Sessions Vs VDI Maturité de la technologie Prouvée Emergeante Montée en charge Le meilleur ratio user/Server Ratio User/Server moindre Isolation/Sécurité Isolation par session L’OS est partagé Utilisateurs standards Isolation par VM L’OS est dédié Administrateur Expérience utilisateur distante Dépend du réseau Flexibilité Utilisateur sans privilèges L’utilisateur peut être admin Compatibilité applicative Windows Server OS Windows Client desktop La technologie VDI permet de répondre à certaines limites ou contraintes du modèle « sessions»

Notre vision au travers de RDS Une approche basée sur 2 technologies Infrastructure TS Infrastructure VDI Connection Broker

La solution RDS de Microsoft Et les extensions partenaires Solutions Partenaires R2

Les différents rôles RDS RD Session Host Propose un environnement multi-sessions (ex Serveur TS) Héberge les sessions pour les RemoteApp et bureaux virtuels RD Virtualization Host Propose un environnement pour des OS clients virtualisés Héberge les machines virtuelles VDI Répond au pilotage du Connection Broker RD Connection Broker Assure les rôles de gestionnaire de ferme, publication et routage vers les ressources Agrège les différentes ressources (RemoteApp, VDI en Pool ou personal) Route les utilisateurs vers les bonnes ressources, pilote les serveurs RDVH RD Web Access Propose une interface de publication des ressources 2 modes pour recueillir les ressources: Depuis un RDSH ou un CB Possibilité de définir plusieurs sources afin d’agréger les ressources RD Gateway Propose l’accès aux ressources en HTTPS Permet de gérer les scénarii d’usage depuis Internet Intègre des mécanismes sécuritaires pour les postes externes et les flux

RD Session Host Nouveau nom du serveur Terminal service C’est le serveur sur lequel sont installées les applications Installation locale Installation via App-V Il propose un accès Soit à un Bureau virtuel (Remote Desktop) Soit juste à une application (RemoteApp) Peut être intégré au sein d’une ferme RD Session Host 2. Le serveur RDSH instancie un contexte de sécurité (session) et démarre l’application 1. L’utilisateur accède à une RemoteApp Remote Desktop Client

RD Virtualization Host En charge de l’orchestration des VMs VDI Héberge les VMs Gère les opérations relatives aux VMs: Démarrage Arrêt Pause Retour arrière (Snapshot) Ce rôle est installé via le service du rôle Remote Desktop Virtualization Host (VmHostAgent Service, tsvmhasvc.dll) Le rôle Hyper-V est installé et utilisé Le serveur RDVH est pilote par le connection Broker Collecte les informations sur les VMs afin d’alimenter le Connection Broker Le serveur RDVH peut être intégrer au sein d’un cluster (LM, QSM, HA…) 3. Le RDCB demande au RDVH de démarrer la VM 4. Le RDVH indique que la VM est accessible RD Connection Broker & Redirecteur 2. Le RDCB détermine la bonne VM 5. Le RDCB (redirecteur) redirige le client vers la VM 1. L’utilisateur demande l’accès à une VM Remote Desktop Client

RD Connection Broker RD Virtualization Host RD Session Host Il s’agit là encore d’un rôle Remote Desktop qui assure: Connection Broker Service de publication Redirecteur Les rôles Connection broker & redirecteur peuvent être dissociés Le serveur peut être mis en haute disponibilité 1. Le RDCB retrouve les ressources et les publie RD Connection Broker & Publication 2. RD Web Access récupère ces informations RD Web Access 3. l’utilisateur clique sur ces informations pour accéder à la ressource 4. L’utilisateur se connecte à la ressource

RD Connection Broker Installe 2 services Connection broker Connection Broker : tssdis Service de Publication : tscpubrpc Connection broker Gère l’ensemble des connexions RDS et RDV Stocke l’état des sessions dans une base, ce qui permet d’assurer les reconnexions et l’équilibrage de charge Fait appel au service de « Publication centralisée » afin d’assurer les connexions vers les VM en mode Personnel

Service de Publication Agrège l’ensemble des programmes RemoteApp depuis les serveurs RDSH Maintient la liste des VMs en mode Pool et requête l’AD pour les VMs en mode Personnel Le serveur RD Web Access fait appel à ce service pour obtenir la liste des ressources disponibles pour un utilisateur donné Recherche les VMs assignées aux utilisateurs pour le compte du Connection Broker Est à l’écoute sur le port 5504

Le Redirecteur Il s’agit d’un serveur RDSH configuré pour rediriger les utilisateur (Drain mode) Transmet les demandes de connexions RDP au Connection Broker et retourne la liste des @ IP reçues du CB Un redirecteur peut servir à la fois des VMs en mode Pool et Personnel Les utilisateurs n’ouvrent jamais de session sur le redirecteur, mais doivent tout de même appartenir au groupe local « Remote desktop users » Le redirecteur étant configuré en « Drain mode », cela implique qu’aucune session RDP ne peut être ouverte sur le redirecteur Pour les accès en mode administration, mstsc /admin

RD Web Access RD Connexion Broker & Publication C’est le portail Web utilisé pour publier les ressources aux utilisateurs: Ces ressources sont filtrées en fonction des habilitations des utilisateurs Les ressources peuvent être: Des RemoteApps Des bureaux virtuels (session) Des machines virtuelles (VDI) Et un 4ième type de ressource! Le portail Web Access est capable d’agréger les ressources provenant de plusieurs sources RD Le serveur RD Web Access offre l’interface de synchronisation en feed RSS pour les RemoteApp & Desktop Connexion RD Session Host 1. Le RD Web Access retrouve les ressources et les publie OU RD Web Access 2. Les clients accèdent à ces ressources via un portail Web 2. Les clients Windows 7 Synchronisent ces ressources via un flux RSS RemoteApp & Desktop Connection (windows 7) Client RDP

RD Gateway Fournit un accès HTTP/s au ressources RDP RD Virtualization Host(s) AD / NAP / NPS Fournit un accès HTTP/s au ressources RDP Ne remplace pas un VPN ou DirectAccess Propose des fonctionnalités de sécurité avancées: Intégration avec NPS (Radius) Intégration avec NAP Nouveau: Redirection de périphérique sécurisée Nécessite des Session Hosts 2008 R2 & VMs Win7 VDI Nouveau: gestion du consentement RD Session Host 2. La gateway évalue les stratégies 3. Connexion RDP vers les ressources RD Gateway 1. L’utilisateur demande une connexion basée sur HTTPS

Séquence de découverte 1 HTTPS 1. Accès aux ressources A 2 RPC: Port 5504 2. Recherche des ressources. Transmet le SID de l’utilisateur pour le filtrage . Voir A A. Le compte machine RDWA doit appartenir au groupe “TS Web Access Computers” du RDCB Active Directory RDSH DMZ 3 WMI B 3. Récupère et agrège les ressources depuis les RDSH. Voir B B. Le compte machine RDCB doit avoir les droits d’appel DCOM et WMI (TerminalServices). Par défaut, le groupe “TS Web Access Computers” a ces droits. 4 LDAP 4. Requête les VMs assignées / utilisateurs RD Web Access 5 5. S’il existe une VM assignée, récupère le fichier RDP. 6 6. Récupère les VMs en Pool. RD Connection Broker 7 C 7. Les RemoteApps sont filtrées en fonction des Security Descriptor définis sur les RDSH. Voir C C. Le filtrage des remoteApps nécessite que le compte machine du RDCB soit dans le groupe “Windows Authorization Access Group”. WMI Client

Séquence de connexion 3 6 B 5 4 2 C A 7 1 RDP 1 A Début de la connexion RDP à la VM. Voir A. L’utilisateur doit appartenir au groupe RDU RD Connection Broker B 2 RPC Obtention des @ IP de la machine cible. Le nom d’utilisateur, du domaine et du type de cible sont envoyés. Voir B. Le redirecteur doit être dans le groupe “Session Broker Computers” 3 RPC Appel au Service de Publication afin d’obtenir les infos sur la VM 6 Une fois la VM prête pour la connexion, renvoi des @ IP. 4 C RPC Récupération des @ IP depuis l’agent sur le RDVH. Voir C. Le Connection Broker doit appartenir au groupe “TS Web Access Computers” 5 WMI Préparation de la VM. VMs RD Redirector RDV Host 7 RDP Le client effectue la connexion RDP à partir des @ IP Client

Bâtir une infrastructure RDS 0 – importance des certificats SSL 1 – Préparer le serveur RD Session Host & les applicatifs 2 – Publier les ressources RemoteApp 3 – Préparer Hyper-V & RD Virtualization Host 4 – Préparer les OS client des VMs 5 – Configurer le Redirecteur & le Broker 6 – Définir les modes d’accès VDI 7 – Publier les ressources VDI

Etape 0 – Importance des certificats L’utilisation du RDP signing permet de bénéficier de: Web Single sign-on Trusted behaviors RemoteApp & Desktop Connections Etc… Assurez-vous d’avoir des certificats SSL Pour l’utilisation sur le RD Web Access Le certificat de la CA Racine déployé Déploiement du certificat de la CA racine sur le parc client Pas nécessaire s’il s’agit d’une CA tierce reconnue Utilisation des GPO pour les clients managés Déploiement manuel pour les autres

Etape 1 – Préparer le serveur RD Session Host & les applicatifs Installation du rôle RD Session Host Configuration des paramètres pour rejoindre une ferme, de sécurité… La configuration d’un serveur RDSH peut être automatisée via GPO ou script Installation des applicatifs Possibilité d’utiliser des packages App-V Installation de l’agent App-V pour RDS Des outils permettent de repérer d’éventuel problèmes de compatibilité et de les résoudre: https://connect.microsoft.com/tsappcompat/Downloads.

Etape 2 – Publier les ressources RemoteApp Utilisation de la console RemoteApp Manager ou de Server Manager Définition des règles d’accès au RemoteApp RDP signing RD Gateway Création des RemoteApps Application des règles de filtrage Définition des méthodes de publication Création de packages MSI ou RDP pour télédistribution Publication sur le portail Web / RemoteApp & Desktop Connections

RDSH & la gestion des RemoteApps Démo RDSH & la gestion des RemoteApps

Etape 3 – Préparer Hyper-V & RD Virtualization Host Installation du rôle Hyper-V Installation du rôle RD Virtualization Host Combien de VMs ce serveur pourra accueillir ? Comme pour les sessions, cela dépend: Des applications au sein des VMs Des données De la nature des OS (Windows 7) date

Etape 4 – Préparer les OS client des VMs Les OS Windows XP, Vista et Windows 7 sont supportés Pour Windows XP et Vista: Installation des composants d’intégration Hyper-V Configuration des postes en VDI: Activer Remote Desktop Service Ajouter le groupe d’utilisateur VDI dans le groupe RD users Activer les Remote RPC Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AllowRemoteRPC from 0 to 1. Autoriser sur le firewall le flux Remote Service Management Positionner les permissions RDP Add the VM Host machine account to the RDP Listener permissions. This must be done by a VB script or a PowerShell script as the UI is not available on client SKUs The RDVH Server computer account needs the WINSTATION_QUERY, WINSTATION_LOGOFF, and WINSTATION_DISCONNECT permissions on each virtual machine in the virtual desktop pool Can only be done after domain join Heureusement, un script permet d’automatiser toutes ces étapes http://gallery.technet.microsoft.com/ScriptCenter/en-us/bd2e02d0-efe7-4f89-84e5-7ad70f9a7bf0 date

Etape 5 – Configurer le Redirecteur & le Broker Les 2 rôles peuvent être séparés Le Connection broker est un rôle RD Le redirecteur est en fait un serveur RDSH configuré en tant que redirecteur Une seule étape pour le configurer L’assistant de création des postes en VDI gère automatiquement cette étape date

Etape 6 – Définir les modes d’accès VDI Bureau virtuel personnel Un OS par utilisateur Poste personnalisable, accès pour des administrateurs Le contexte utilisateur fait à priori parti de l’OS Bureau virtuel personnel Bureau virtuel en Pool Les OS sont partagés et configurés de manière identique Ce mode n’est pas recommandé pour des administrateurs Le contexte utilisateur est temporaire Bureau virtuel en Pool date

Etape 7 – Publier les ressources VDI Les machines virtuelles en VDI sont des ressources qui seront vues comme les autres ressources RDS, ie les RemoteApps ou Remote Desktop. On utilise donc les mêmes méthodes de publication: Portail Web RemoteApp & Desktop Connection L’approche pourra donc au final: Proposer une vue unifiée aux utilisateurs Capitaliser sur l’infrastructure RDS existante date

Gestion des machines en VDI Publication unifiée Démo Gestion des machines en VDI Publication unifiée

En résumé, les différentes options… RemoteApp Gestion optimisée en terme de coûts Administration optimisée Meilleur ratio d’utilisation matérielle & logicielle Poste VDI personnel Coût élevé en terme de gestion d’images Accès administrateur Ratio le plus bas en terme d’utilisation HW & SW Meilleur niveau de compatibilité pour les applicatifs Poste VDI en pool Coût intermédiaire pour la gestion des images Administration plus simple que le mode VDI personnel Utilise moins de ressources que le mode VDI personnel Mixez & Choisissez vos options en fonction des besoins de vos utilisateurs

Le meilleur des deux mondes? RemoteApp for Hyper-V Publication granulaire d’applications contenues dans une machine virtuelle VDI (OS client) Simplification de la compatibilité applicative Application non compatible RDS ou système d’exploitation des postes riches Fondu de la fenêtre de l’application Utilisation de la même infrastructure RDS Supporté pour des VMs de type: Windows 7 Windows XP SP3 Windows Vista SP1 date

Démo RemoteApp for Hyper-V

Tips & Tricks: les erreurs récurrentes Parmi lesquelles Le compte machine du RD Web Access n’appartient pas au groupe « TS Web Access Computers » Le port TCP 5504 n’est pas ouvert sur le firewall Le flux WMI n’est pas autorisé sur le firewall Le server ne peut pas se connecter à l’AD: Workgroup Pas d’accès réseau au DC Pas de trust

Tips & Tricks: Connection Broker En cas d’architecture redondante (HA) du Connection broker, les rôles RDVH et RDCB ne peuvent être cumulés sur la même machine. Afin d’assurer un bon niveau de support pour les clients légers, il est nécessaire d’activer l’option  “Enable redirection for earlier RDC versions” et d’ajouter l’adresse IP du redirecteur. Les 2 principales difficultés remontées sur le déploiement La configuration des VMs en VDI est incorrecte. Le symptôme classique est “Waking Machine” pendant un certain temps. Automatiser la configuration des VMs via les GPO ou des scripts Des utilisateurs qui se plaignent de ne pas pouvoir accéder à leurs machines personnelles. En règle générale, les postes n’ont pas été assignés!

Nos premières références Virtualisation de la présentation Lorsqu’il s’agit de moderniser sa plate-forme de publication des applications, le numéro un mondial de l’assurance crédit choisit la simplicité et opte pour Windows Server 2008 R2. À la clé : simplicité de mise en œuvre, facilité de déploiement et économies ! Virtualisation du poste de travail (VDI) Pour limiter l’administration de ses serveurs -aujourd’hui au nombre de 850-, MAAF Assurances opte pour la virtualisation avec Windows 2008 R2 et Hyper-V. Objectif : moins de 100 serveurs d’ici 2010 ! Également à la clé : proposer à ses partenaires bancaires un poste de travail complet et simple à administrer. date

Questions

Les différentes CAL VDI La CAL VDI Microsoft a été développée afin de simplifier la gestion des licences des différentes briques de l’infrastructure Windows Virtual Enterprise Centralized Desktop (Windows VECD) Hyper-V, MDOP, SCVMM, and VDI -restricted rights to SCOM, SCCM and RDS All components of Standard Suite, plus unrestricted RDS rights and App-V for RDS $21/device/year OU $53/device/year 3rd Party Products add value to the Microsoft VDI Suite Two simple SKUs for Microsoft VDI Simple device based annual subscription model Simple Licensing Excellent Value Both SKUs are significantly cheaper than the competition Enterprise grade features at a low price point in conjunction with partners Application virtualization, integrated management included in base SKU Choice of VDI and session based desktops in premium SKU Comprehensive Technology