la virtualisation de présentation et de postes de travail dans tout ses états !
DESCRIPTION
La virtualisation de présentation et de postes de travail dans tout ses états !. WIN304 Christian-Pierre BELIN Jérôme MOMBELLI Microsoft. Agenda. Les nouveaux services RDS de Windows Server 2008 R2 VDI vs Sessions? Les différents rôles RDS Bâtir une infrastructure RDS - PowerPoint PPT PresentationTRANSCRIPT
22
La virtualisation de présentation et de postes de travail dans tout ses états !
WIN304Christian-Pierre BELINJérôme MOMBELLIMicrosoft
33
Agenda
Les nouveaux services RDS de Windows Server 2008 R2VDI vs Sessions?Les différents rôles RDSBâtir une infrastructure RDSRassembler les différentes briquesLe meilleur des 2 approches…Q&A
44
Déport d’affichage
RDP 4.0Client Web
Aujourd’hui
RDP 7.0Connection brokerFiltrage applicatifApp-VVDI
Ferme TSRDP 5.0Redirection x64
RemoteAppAccès WebRDP 6.0
Les évolutions de Terminal Services Rem
ote Desktop Services
Terminal Services
55
Les points clef que propose RDS
Experience Full-Fidelity RDS & VDI – Une solution intégrée
Applications distantes
Capitalisation sur Hyper-V™ pour héberger les VMs
Un connexion broker unifié
Une seule infrastructure de publication
RemoteApp & Desktop Connection
RemoteApp & Desktop Web Access
Améliorations sécuritaires pour RD Gateway
Support d’écrans multiples
Support multimédia& audio bidirectionnel
Accélération graphique pour les appli 3D et le
contenu riche
Plateforme & ManagementNouvelles API, Extensibilité du Connection Broker,
Support de PowerShell™, IP virtualisation, RD EasyPrint
66
Hypervisor
Client OSServer OS
Virtualisation de session VS virtualisation d’OS client
Client OS 1 Client OS n
77
Pourquoi s’appuyer sur 2 technologies?Sessions Vs VDI
La technologie VDI permet de répondre à certaines limites ou contraintes du modèle « sessions»
Session VDI
Maturité de la technologie Prouvée Emergeante
Montée en charge Le meilleur ratio user/Server Ratio User/Server moindre
Isolation/Sécurité Isolation par sessionL’OS est partagé Utilisateurs standards
Isolation par VML’OS est dédiéAdministrateur
Expérience utilisateur distante Dépend du réseau Dépend du réseau
Flexibilité Utilisateur sans privilèges L’utilisateur peut être admin
Compatibilité applicative Windows Server OS Windows Client desktop
88
Notre vision au travers de RDSUne approche basée sur 2 technologies
Connection Broker
Infrastructure TS Infrastructure VDI
99
La solution RDS de MicrosoftEt les extensions partenaires
Solutions Partenaires
R2
1010
Les différents rôles RDS
•Propose un environnement multi-sessions (ex Serveur TS)•Héberge les sessions pour les RemoteApp et bureaux virtuels
RD Session Host
•Propose un environnement pour des OS clients virtualisés•Héberge les machines virtuelles VDI•Répond au pilotage du Connection BrokerRD Virtualization
Host•Assure les rôles de gestionnaire de ferme, publication et routage vers les ressources•Agrège les différentes ressources (RemoteApp, VDI en Pool ou personal)•Route les utilisateurs vers les bonnes ressources, pilote les serveurs RDVHRD Connection
Broker
•Propose une interface de publication des ressources•2 modes pour recueillir les ressources: Depuis un RDSH ou un CB•Possibilité de définir plusieurs sources afin d’agréger les ressources
RD Web Access
•Propose l’accès aux ressources en HTTPS•Permet de gérer les scénarii d’usage depuis Internet •Intègre des mécanismes sécuritaires pour les postes externes et les flux
RD Gateway
1111
RD Session Host
Nouveau nom du serveur Terminal serviceC’est le serveur sur lequel sont installées les applications
Installation localeInstallation via App-V
Il propose un accèsSoit à un Bureau virtuel (Remote Desktop)Soit juste à une application (RemoteApp)
Peut être intégré au sein d’une ferme Remote Desktop
Client
1. L’utilisateur accède à une RemoteApp
2. Le serveur RDSH instancie un contexte de sécurité (session) et démarre l’application
RD Session Host
1212
RD Virtualization Host
En charge de l’orchestration des VMs VDIHéberge les VMsGère les opérations relatives aux VMs:
DémarrageArrêtPauseRetour arrière (Snapshot)
Ce rôle est installé via le service du rôle Remote Desktop Virtualization Host (VmHostAgent Service, tsvmhasvc.dll)
Le rôle Hyper-V est installé et utiliséLe serveur RDVH est pilote par le connection BrokerCollecte les informations sur les VMs afin d’alimenter le Connection BrokerLe serveur RDVH peut être intégrer au sein d’un cluster (LM, QSM, HA…)
RD Connection Broker &
Redirecteur
RD Virtualization Host
Remote Desktop
Client
1. L’utilisateur demande l’accès à une VM
2. Le RDCB détermine la bonne VM
3. Le RDCB demande au RDVH de démarrer la VM
4. Le RDVH indique que la VM est accessible
5. Le RDCB (redirecteur) redirige le client vers la VM
1313
RD Connection Broker
Il s’agit là encore d’un rôle Remote Desktop qui assure:
Connection BrokerService de publicationRedirecteur
Les rôles Connection broker & redirecteur peuvent être dissociésLe serveur peut être mis en
haute disponibilité
RD Connection Broker & Publication
1. Le RDCB retrouve les ressources
et les publie
2. RD Web Access
récupère ces informations
RD Web Access
3. l’utilisateur clique sur ces informations pour accéder à la ressource
RD Virtualization Host
RD Session Host
4. L’utilisateur se connecte à la ressource
1414
RD Connection Broker
Installe 2 servicesConnection Broker : tssdisService de Publication : tscpubrpc
Connection broker Gère l’ensemble des connexions RDS et RDVStocke l’état des sessions dans une base, ce qui permet
d’assurer les reconnexions et l’équilibrage de chargeFait appel au service de « Publication centralisée » afin
d’assurer les connexions vers les VM en mode Personnel
1515
Service de Publication
Agrège l’ensemble des programmes RemoteApp depuis les serveurs RDSHMaintient la liste des VMs en mode Pool et requête l’AD pour
les VMs en mode PersonnelLe serveur RD Web Access fait appel à ce service pour obtenir
la liste des ressources disponibles pour un utilisateur donnéRecherche les VMs assignées aux utilisateurs pour le compte
du Connection BrokerEst à l’écoute sur le port 5504
1616
Le Redirecteur
Il s’agit d’un serveur RDSH configuré pour rediriger les utilisateur (Drain mode)
Transmet les demandes de connexions RDP au Connection Broker et retourne la liste des @ IP reçues du CBUn redirecteur peut servir à la fois des VMs en mode Pool
et PersonnelLes utilisateurs n’ouvrent jamais de session sur le
redirecteur, mais doivent tout de même appartenir au groupe local « Remote desktop users »
Le redirecteur étant configuré en « Drain mode », cela implique qu’aucune session RDP ne peut être ouverte sur le redirecteur
Pour les accès en mode administration, mstsc /admin
1717
RD Web Access
C’est le portail Web utilisé pour publier les ressources aux utilisateurs:Ces ressources sont filtrées en fonction des habilitations des utilisateursLes ressources peuvent être:
Des RemoteAppsDes bureaux virtuels (session)Des machines virtuelles (VDI)Et un 4ième type de ressource!
Le portail Web Access est capable d’agréger les ressources provenant de plusieurs sources RDLe serveur RD Web Access offre l’interface de synchronisation en feed RSS pour les RemoteApp & Desktop Connexion
RD Connexion Broker & Publication
1. Le RD Web Access retrouve les ressources
et les publie
2. Les clients accèdent à ces ressources via un portail Web
RD Web Access
RD Session Host
RemoteApp & Desktop Connection (windows 7)
2. Les clients Windows 7
Synchronisent ces ressources via un flux RSS
Client RDP
OU
1818
RD Gateway
Fournit un accès HTTP/s au ressources RDPNe remplace pas un VPN ou
DirectAccessPropose des fonctionnalités de
sécurité avancées:Intégration avec NPS (Radius)Intégration avec NAPNouveau: Redirection de périphérique sécurisée
Nécessite des Session Hosts 2008 R2 & VMs Win7 VDI
Nouveau: gestion du consentement
RD Gateway
AD / NAP / NPS
1. L’utilisateur demande une
connexion basée sur HTTPS
2. La gateway évalue les stratégies
RD Virtualization
Host(s)
RD Session Host
3. Connexion RDP vers les
ressources
1919
Séquence de découverte
Client
RD Web Access
RDSH
RD Connection Broker
Active DirectoryDMZ
WMI
1
HTTP
S
1. Accès aux ressources
4
LDAP
4. Requête les VMs assignées / utilisateurs
5
5. S’il existe une VM assignée, récupère le fichier RDP.
6
6. Récupère les VMs en Pool.
A
2RPC: Port 5504
2. Recherche des ressources. Transmet le SID de l’utilisateur pour le filtrage . Voir A
A. Le compte machine RDWA doit appartenir au groupe “TS Web Access Computers” du RDCB
3
WM
I
B3. Récupère et agrège
les ressources depuis les RDSH. Voir B
B. Le compte machine RDCB doit avoir les droits d’appel DCOM et WMI (TerminalServices). Par défaut, le groupe “TS Web Access Computers” a ces droits.
7C
7. Les RemoteApps sont filtrées en fonction des Security Descriptor définis sur les RDSH. Voir C
C. Le filtrage des remoteApps nécessite que le compte machine du RDCB soit dans le groupe “Windows Authorization Access Group”.
2020
Séquence de connexion
RD Connection Broker
RD Redirector
VMsRDV Host
Client
3 RPC
3 Appel au Service de Publication afin d’obtenir les infos sur la VM
5 WMI
5 Préparation de la VM.
6
6 Une fois la VM prête pour la connexion, renvoi des @ IP.
7RDP
7 Le client effectue la connexion RDP à partir des @ IP
RDP
1A
1 Début de la connexion RDP à la VM. Voir A.
A L’utilisateur doit appartenir au groupe RDU
B
2 RPC
2 Obtention des @ IP de la machine cible. Le nom d’utilisateur, du domaine et du type de cible sont envoyés. Voir B.
B Le redirecteur doit être dans le groupe “Session Broker Computers”
4C
RPC4 Récupération des @ IP
depuis l’agent sur le RDVH. Voir C.
C Le Connection Broker doit appartenir au groupe “TS Web Access Computers”
2121
Bâtir une infrastructure RDS
0 – importance des certificats SSL1 – Préparer le serveur RD Session Host & les applicatifs2 – Publier les ressources RemoteApp3 – Préparer Hyper-V & RD Virtualization Host4 – Préparer les OS client des VMs 5 – Configurer le Redirecteur & le Broker6 – Définir les modes d’accès VDI7 – Publier les ressources VDI
2222
Etape 0 – Importance des certificats
L’utilisation du RDP signing permet de bénéficier de:Web Single sign-onTrusted behaviorsRemoteApp & Desktop ConnectionsEtc…
Assurez-vous d’avoir des certificats SSLPour l’utilisation sur le RD Web AccessLe certificat de la CA Racine déployé
Déploiement du certificat de la CA racine sur le parc clientPas nécessaire s’il s’agit d’une CA tierce reconnueUtilisation des GPO pour les clients managésDéploiement manuel pour les autres
2323
Etape 1 – Préparer le serveur RD Session Host & les applicatifs
Installation du rôle RD Session HostConfiguration des paramètres pour rejoindre une ferme, de
sécurité…La configuration d’un serveur RDSH peut être automatisée
via GPO ou scriptInstallation des applicatifs
Possibilité d’utiliser des packages App-VInstallation de l’agent App-V pour RDSDes outils permettent de repérer d’éventuel problèmes de
compatibilité et de les résoudre: https://connect.microsoft.com/tsappcompat/Downloads.
2424
Etape 2 – Publier les ressources RemoteApp
Utilisation de la console RemoteApp Manager ou de Server ManagerDéfinition des règles d’accès au RemoteApp
RDP signingRD Gateway
Création des RemoteAppsApplication des règles de filtrageDéfinition des méthodes de publication
Création de packages MSI ou RDP pour télédistributionPublication sur le portail Web / RemoteApp & Desktop
Connections
2525
DémoRDSH & la gestion des RemoteApps
2626
Etape 3 – Préparer Hyper-V & RD Virtualization Host
Installation du rôle Hyper-VInstallation du rôle RD Virtualization Host
Combien de VMs ce serveur pourra accueillir ?Comme pour les sessions, cela dépend:
Des applications au sein des VMsDes donnéesDe la nature des OS (Windows 7)
2727
Etape 4 – Préparer les OS client des VMs
Les OS Windows XP, Vista et Windows 7 sont supportésPour Windows XP et Vista:
Installation des composants d’intégration Hyper-VConfiguration des postes en VDI:
Activer Remote Desktop ServiceAjouter le groupe d’utilisateur VDI dans le groupe RD usersActiver les Remote RPC
Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AllowRemoteRPC from 0 to 1.
Autoriser sur le firewall le flux Remote Service ManagementPositionner les permissions RDP
Add the VM Host machine account to the RDP Listener permissions. This must be done by a VB script or a PowerShell script as the UI is not available on client SKUsThe RDVH Server computer account needs the WINSTATION_QUERY, WINSTATION_LOGOFF, and WINSTATION_DISCONNECT permissions on each virtual machine in the virtual desktop poolCan only be done after domain join
Heureusement, un script permet d’automatiser toutes ces étapeshttp://gallery.technet.microsoft.com/ScriptCenter/en-us/bd2e02d0-efe7-4f89-84e5-7ad70f9a7bf0
2828
Etape 5 – Configurer le Redirecteur & le Broker
Les 2 rôles peuvent être séparésLe Connection broker est un rôle RDLe redirecteur est en fait un serveur RDSH configuré
en tant que redirecteurUne seule étape pour le configurerL’assistant de création des postes en VDI gère
automatiquement cette étape
2929
Etape 6 – Définir les modes d’accès VDI
Bureau virtuel personnel
Bureau virtuel en Pool
Bureau virtuel personnelUn OS par utilisateur Poste personnalisable, accès pour des administrateursLe contexte utilisateur fait à priori parti de l’OS
Bureau virtuel en PoolLes OS sont partagés et configurés de manière identiqueCe mode n’est pas recommandé pour des administrateursLe contexte utilisateur est temporaire
3030
Etape 7 – Publier les ressources VDI
Les machines virtuelles en VDI sont des ressources qui seront vues comme les autres ressources RDS, ie les RemoteApps ou Remote Desktop.
On utilise donc les mêmes méthodes de publication:Portail WebRemoteApp & Desktop ConnectionL’approche pourra donc au final:
Proposer une vue unifiée aux utilisateursCapitaliser sur l’infrastructure RDS existante
3131
DémoGestion des machines en VDIPublication unifiée
3232
RemoteApp • Gestion optimisée en terme de
coûts• Administration optimisée• Meilleur ratio d’utilisation
matérielle & logicielle
Poste VDI personnel• Coût élevé en terme de gestion
d’images• Accès administrateur• Ratio le plus bas en terme
d’utilisation HW & SW• Meilleur niveau de compatibilité
pour les applicatifs
Poste VDI en pool• Coût intermédiaire pour la
gestion des images• Administration plus simple que
le mode VDI personnel• Utilise moins de ressources que
le mode VDI personnel• Meilleur niveau de compatibilité
pour les applicatifs
Mixez & Choisissez vos options en fonction des besoins de vos utilisateurs
En résumé, les différentes options…
3333
Le meilleur des deux mondes?
RemoteApp for Hyper-VPublication granulaire d’applications contenues dans une
machine virtuelle VDI (OS client)Simplification de la compatibilité applicative
Application non compatible RDS ou système d’exploitation des postes richesFondu de la fenêtre de l’applicationUtilisation de la même infrastructure RDS
Supporté pour des VMs de type:Windows 7Windows XP SP3Windows Vista SP1
3434
DémoRemoteApp for Hyper-V
3737
Nos premières références
Lorsqu’il s’agit de moderniser sa plate-forme de publication des applications, le numéro un mondial de l’assurance crédit choisit la simplicité et opte pour Windows Server 2008 R2. À la clé : simplicité de mise en œuvre, facilité de déploiement et économies !
Virtualisation de la présentation
Pour limiter l’administration de ses serveurs -aujourd’hui au nombre de 850-, MAAF Assurances opte pour la virtualisation avec Windows 2008 R2 et Hyper-V. Objectif : moins de 100 serveurs d’ici 2010 ! Également à la clé : proposer à ses partenaires bancaires un poste de travail complet et simple à administrer.
Virtualisation du poste de travail (VDI)
3838
Questions
4040
$21/device/year $53/device/year
Two simple SKUs for Microsoft VDISimple device based annual subscription model
All components of Standard Suite, plus unrestricted RDS rights and App-V for RDS
Hyper-V, MDOP, SCVMM, and VDI -restricted rights to SCOM, SCCM and RDS
OU
Windows Virtual Enterprise Centralized Desktop (Windows VECD)
3rd Party Products add value to the Microsoft VDI Suite
Simple Licensing
Both SKUs are significantly cheaper than the competitionEnterprise grade features at a low price point in conjunction with partners
Application virtualization, integrated management included in base SKUChoice of VDI and session based desktops in premium SKU
Excellent Value
Comprehensive Technology
La CAL VDI Microsoft a été développée afin de simplifier la gestion des licences des différentes briques de l’infrastructure
Les différentes CAL VDI