A képernyő átviteli feladatok során az RDP által használt TCP protokol nem a legoptimálisabb. Az UDP alapú PCoIP nemcsak hogy jobb felhasználói élményt nyúlt interneten kersztül (WAN), de a hálózati várakozásokat (latency) is jobban tolerálja.

Nem utolsó sorban az úgynevezett zéró kliensek (pl: Wyse P20 vagy Samsung NC190/NC240) most már “sima” internet vezetékre kötve is működnek (a legutóbbi Teradici Firmware – tera1x00_rel3_3_0_v321 esetén), nem kell site2site VPN-t varázsolni a hálózatra, hogy a PCoIP működjön (távoli elérésű irodákban nagy előny!). A notebook-kal bármikor egyszerűen be lehet lépni, nem kell (PPTP/roadwarrior) VPN-t indítani a Windows/Linux gépről.

Highlight of this release:
•    PCoIP Security Server (várva várt PCoIP gateway funkció – immár teljesen “WAN barát”)
•    USB device compatibility enhancements  (működik az Apple iPhone és iPad iTunes/USB esetén)
•    Enhance keyboard mapping (egy-két zavaró apróság javítása)
•    New and improved timeout settings for SSO users
•    Important bug fixes that continue to improve the performance and robustness of the product
•    Support for Win 7 SP1  (teljes támogatás)

További információk:
http://www.vmware.com/support/view46/doc/view-46-release-notes.html#whatsnew

Egy hosszabb szünet után újra itt vagyok, és én is aktívan folytatom a cikkek írását (a saját személyes blog-om és a VirtualForum.hu egyesülésével létrejött) VMUG közösségi portálon. Ebben a hónapban a fő téma a napjainkban egyre népszerűbb Munkaállomás virtualizáció lesz. Cikksorozatomban bemutatom, hogy a VDI megoldásokban (direkt nem alkalmazás prezentációt/TS-t mondtam) piacvezető VMware hogyan képzeli el a virtuális munkaállomásokat a jövőben, milyen műszaki nehézségekkel néz szembe egy VDI projekt és hogyan kínál ezekre megoldást a VMware.

Alapvető követelmények

• RSA Authentication Manager + SecurID token-ek
• VDM Security Server (továbbiakban VDMSS)
• REPLICA VDM

A VDM távoli elérés kialakítása nagyon egyszerű, azonban elsőre elég félrevezető lehet a manual ha csak ebből indulunk ki. Van néhány alapvető dolog, amivel tisztában kell lenni:

• A VDM Security Server-t egy internet DMZ hálózati szegmensben telepítsük
• A VDMSS-nek nincs GUI felületete
• A VDMSS nem jelenik meg a VDM Connection Server web-es felületén sehol
• Az RSA-t a belső hálózatba telepítsük és ne a DMZ-be
• Az RSA-s azonosítást a belső hálózatban lévő VDM szerveren kell definiálni, emiatt
• Ha azonos VDI-t szeretnénk elérhetővé tenni belső hálóról és az internetről is, valamint szeretnénk RSA-t használni a külsős elérés biztonságának növeléséhez, akkor legalább 2 VDM szerverre lesz szükség a belső hálón.

Tűzfal konfig követelmények

• internet-> DMZ VDMSS:80, 443
• DMZ VDMSS -> internal lan REPLICA VDM:4001, 8009
• DMZ VDMSS -> VDI-on futó VM-ek:3389

(igen, a VDMSS be kell, hogy lásson a 3389-en a belső hálón lévő virtuális gépek felé!)

Előkészületek

A telepítés előtt fontos eldönteni, hogy az RSA-s azonosítást megköveteljük-e a belső hálózatból is vagy itt hagyatkozhatunk egy sima AD-s azonosításra.  Az architektúra nem teszi lehetővé, hogy a VDM különbséget tegyen a beérkező kapcsolatok között ezért ha RSA kell és nem akarjuk a csak belső hálózaton dolgozó felhasználókat szivatni az RSA-s azonosítással, akkor telepítsük egy REPLICA VDM-et a belső hálóra. Ezt fogjuk használni majd az RSA-val.

A telepítés menete

1., Replica VDM a belső hálón

2., VDMSS a dmz-ben

3., RSA Authentication Manager

4., REPLICA VDM konfig

1 REPLICA VDM

A VDM replica szerver telepítése rettenetesen egyszerű, a telepítésnél csak meg kell adni a primer VDM címét.

2 VDM Security Server

A VDMSS-t  természeten egy DMZ-ben lévő gépre kell tenni és mehet meglévő szerverre ha a 80-443-as portokan nem használja vmilyen alkalmazás rajta. Fontos, hogy a telepítésnél már működjenek a fenti tűzfal szabályok! A telepítés során válasszuk a Security Server funkciót, majd adjuk meg a belső hálón lévő REPLICA VDM szerver IP-jét. (tapasztalataim alapján DNS feloldás nem kell).

A VDMSS-en ezután már csak egy konfigurációs lépés van

1. hozzuk létre a következő file-t: C:\Program Files\VMware\VMware VDM\Server\sslgateway\conf\locked.properties
2. ezzel a tartalommal

clientHost=x.y.z.a

clientPort=443

clientProtocol=https

A clienthost az az URL legyen, amin keresztül a VDMSS-et az internet felől elérjük.

3 RSA Authentication Manager

Az RSA-t legalább olyan bonyolult feltenni, mint a VDMSS-t. Fontos, hogy ez a komponens a belső hálón kapjon helyet, mivel a REPLICA VDM-mel fog beszélgetni. Telepítés után két feladat van:

• Host Agent létrehozása: itt adjuk meg a REPLICA VDM IP-jét, NET OS host és minden felhasználó számára aktív
• Exportáljuk ki a létrehozott Host Agent-et: sdconf.rec
• Hozzunk létre felhasználókat és társítsuk hozzájuk a token-eket

4 REPLICA VDM konfig

Utolsó feladat a REPLICA VDM beállítása. Ezt a VDM szerver ugye azért hoztuk létre, hogy ide továbbítsa a bejövő kéréseket a VDMSS, valamint, hogy beszélgessen az RSA-val a token-es azonosítás kapcsán. A REPLICA VDM konfigurációját a web-es interfészen keresztül végezzük el:

• a replicaVDM-nél állítsuk be, hogy használjon RSA két faktoros azonosítást
• töltsük fel az előzőekben kiexportált sdconf.rec állományt

Újraindítás nem szükséges…

Ezek ütán már tesztelhetjük is a külső kapcsolatot. A VDMSS szerver publikus címét egy browser-be beírva még warning-ot kapunk a tanúsítvány megbíhatatlansága miatt, de ezzel most nem kell foglalkozni. Browser mellet használhatjuk még a VDM kliens alkalmazást is a távoli elérésre. Ebben az esetben elegenő a megfelelő publikus IP-t megadni a szerverhez.

Tehát VDI-in-a-box:

• Legalább egy ESX szerver
  • RAM-mal tömjük tele… 4gb-vel elég döcögös lesz
• Active Directory környezet
  • ha nincs, akkor egy mini directory-t érdemes csinálni a teszthez. Az AD nagy hangsúlyt kap a VDI kapcsán..
• VirtualCenter
  • futhat a teszt ESX-en is
  • nem szükséges, hogy tartományi tag legyen
• VDM Connection Server
  • futhat a teszt ESX-en is
  • tagja kell, hogy legyen az AD tartománynak

A telepítés sorrendje: ESX, VC, AD, VDM

Ha minden megvan, akkor még hátra van a konfiguráció.

• VDM: eval licenszet beadni
• VDM: megadni a VirtualCenter címét
• VirtualCenter: töltsünk fel vmi XP telepítő ISO-t a datastore-ba
• VirtualCenter: Telepítsünk egy sima XP-t, tegyük fel a VMware Tools-t. (ha használunk wyse kliens-t, akkor custom telepítőt válasszuk és pipáljuk be a wyse mmr-t)
• XP: telepítsük a szükséges hotfix-eket,
  • http://support.microsoft.com/kb/323497
  • http://support.microsoft.com/kb/884020
• XP: csatlakoztassuk a tartományhoz a gépet
• XP: telepítsük a VMware VDM Agent-et
• XP: tegyük bele a Remote Desktop users lokál csoportba az AD Domain Users csoportját (hogy később ne szívjunk emiatt..)
• XP: a lokál admin fióknak üres legyen a jelszava
• XP: vegyük a domain-ből a gépet
• VirtualCenter: klónozzuk az XP-t template-té
• VirtualCenter: hozzunk létre egy Guest OS customization bejegyzést Windows XP-hez. A gépnévnél válasszuk, hogy egyezzen meg a VM nevével, domain join szükséges!
• VDM: hozzunk létre egy desktop pool-t (Inventory pont alatt)
• VDM: válasszuk a non persisten poolt, adjuk meg a nevet, hány gép legyen a poolban, válasszuk ki az előzőekben létrehozott template-et és a Guest OS beállítást. FINISH után nézzük a VirtualCenter-t, ahogy létrejönnek a gépek

Hát tömören ennyi…

Innentől már nincs már teendő, mint egy IE-ből beborzolni a VDM címét és bejelentkezni egy AD user-rel.

Holnap az RSA azonosítás integrációjáról fogok beszámolni.