Экспресс-курс для подготовки к экзамену VMware Horizon View 6. Подготовка окружения для Horizon

в 9:22, , рубрики: VDI решения VMware, view, VMware, виртуализация, Серверное администрирование, системное администрирование

Экспресс-курс для подготовки к экзамену VMware Horizon View 6. Подготовка окружения для Horizon - 1 Продолжение адаптированного перевода экспресс-курса Vladan Seget для подготовки к экзамену VMware Horizon 6 (with View) под кодовым номером 2V0-651.

Экзаменационные темы

Неправильная настройка групп AD DS, организационных подразделений, учетных записей в vCenter может привести как к некорректной работе View, так и рискам, связанным с излишне назначенными привилегиями. В этом разделе будут рассмотрены следующие темы:

а) Требования к учетным записям, группам Active Directory и необходимым разрешениям
б) Требования к организационным подразделениям (OU) для компьютеров
в) Файлы шаблонов групповой политики (GPO)
г) Настройка доверительных отношений между доменами Active Directory
д) Настройка серверов DHCP для десктопов Horizon View

Требования к учетным записям, группам Active Directory и необходимым разрешениям

Для установки View поддерживаются домены Active Directory начиная с уровня 2003. Серверы Connection, Replica, должны быть членами домена. Security может находиться в рабочей группе, но ничто не мешает сделать его членом домена (например, изолированного домена DMZ). Установить сервер Connection на контроллер домена не получится, так как он использует AD LDS.

Группы пользователей

В работе вам потребуется использовать группы AD DS как для пользователей (viewusers), так и для администраторов (viewadmins). Хорошая практика — всегда использовать группы при назначении разрешений, избегая использования учетных записей напрямую.

Группы пользователей используются при назначении разрешений на пулы виртуальных машин. Для простоты поиска придумайте для них стандартный префикс. Создайте общую группу, включающую все пользовательские группы и включите ее в локальную группу «Remote Desktop Users » на десктопах View при помощи политики Restricted Groups.

Группа для администраторов понадобится при установке View Connection server. Желательно заранее создать ее для установки первого сервера Connection.
Экспресс-курс для подготовки к экзамену VMware Horizon View 6. Подготовка окружения для Horizon - 2

Учетные записи для Connection Server и Composer

pubs.vmware.com/horizon-62-view/index.jsp#com.vmware.horizon-view.installation.doc/GUID-997107E5-F66D-494C-B2BA-A74977C7804C.html#GUID-997107E5-F66D-494C-B2BA-A74977C7804C

В общем случае вам понадобятся две или три сервисные учетные записи.

Первая — с правами в vCenter. Эта учетная запись потребуется после установки сервера Connection, при добавлении сервера vCenter. Именно от ее имени в vCenter будут выполняться операции развертывания десктопов, включения и выключения виртуальных машин и т.д. Не стоит предоставлять этой учетной записи максимальные административные привилегии, достаточно будет следующего набора
image

Если вы не будете использовать linked-clone и, соответственно, Composer, то потребуются следующие разрешения

Экспресс-курс для подготовки к экзамену VMware Horizon View 6. Подготовка окружения для Horizon - 4

Если вы будете использовать Composer, то к необходимо добавить еще и следующие разрешения.
Экспресс-курс для подготовки к экзамену VMware Horizon View 6. Подготовка окружения для Horizon - 5

Осторожно! В View есть фича — View Storage Accelerator. В View 5.2 для ее работы требуется привилегия Act as vCenter Server.
В 6.0 — тоже, в 6.2 уже указана другая привилегия - Host > Configuration > Advanced settings. Истина где-то рядом.

Если Composer установлен на одной машине с vCenter, эту учетную запись необходимо добавить в группу локальных администраторов Windows (BUILTINAdministrators) на сервере vCenter.

О военных хитростях

Во многих случаях продукт можно сконфигурировать не так, как предписывает документация. Зачастую можно попробовать схитрить. Делать этого без острой необходимости не стоит. Качество тестирования продуктов VMware такое, что ваша военная хитрость в итоге обернется против вас специфическим багом. Не стоит использовать учетные записи vsphere.local, локальные учетные записи, кроме проблем, вероятнее всего, вы ничего не получите.

Вторая учетная запись понадобится если Composer установлен отдельно от vCenter. Учетная запись используется для взаимодействия Connection и Composer. Ее необходимо включить в группу локальных администраторов Windows (BUILTINAdministrators) на standalone сервере Composer.
image

Если вы проигнорируете это требование, то Connection Server не сможет подключиться к Composer.
Экспресс-курс для подготовки к экзамену VMware Horizon View 6. Подготовка окружения для Horizon - 7

Третья учетная запись нужна для работы с Active Directory. Ее использует Composer для утилиты QuickPrep.

image

Она же будет использоваться для настройки Customization Specification для Sysprep в vCenter.
image

Требования к организационным подразделениям (OU) для компьютеров

Для того, чтобы управлять настройками View через групповую политику и делегировать разрешения вам потребуется создать OU для десктопов. Для Linked-clone рекомендуется отдельное OU.

Если вы планируете использовать Kiosk Mode, VMware рекомендует отдельное OU для десктопов в этом режиме и выделенную группу AD DS для учетных записей. Рекомендуется и выделенный Connection server для Kiosk Mode.

На организационное подразделение, где будут создаваться учетные записи компьютеров потребуются следующие разрешения:
Стандартные разрешения (по умолчанию уже назначенные на OU):

  • List Contents
  • Read All Properties
  • Read Permissions

Дополнительные разрешения, достаточные для повторного использования предварительно созданных учетных записей:

  • Reset Password

Дополнительные разрешения, необходимые для создания учетных записей:

  • Create Computer Objects
  • Delete Computer Objects
  • Write All Properties
  • Reset Password

Файлы шаблонов групповой политики (GPO)

В прошлом файлы шаблоно располагались в каталоге installation_directoryVMwareVMware ViewServerExtrasGroupPolicyFiles. В View 6.2 они скачиваются в виде архива VMware-Horizon-View-Extras-Bundle.zip

Извлеченные файлы разумно расположить в центральное хранилище шаблонов групповой политики \имя_доменаsysvolимя_доменаPoliciesPolicyDefinitions

Некоторые шаблоны содержат настройки как для раздела «компьютер», так и «пользователь». Следует помнить как применяются групповые политики и при необходимости не забывать включать Group Policy Loopback Processing.

The View Agent Configuration (vdm_agent.adm) — настройки агента View
The Horizon Client Configuration (vdm_client.adm) — настройки клиента View
The View Server Configuration (vdm_server.adm) — настройки сервера Connection, связанные с аутентификацией и междоменными доверительными отношениями
The View Common Configuration (vdm_common.adm) — настройки, которые могут применяться как к серверам Connction, так и агентам — безопасноть, производительность журналирование
The View PCoIP Session Variables (pcoip.adm) — настройки протокола PCoIP на агенте. Состоит из двух веток — настроек, переопределяемых администратором, и непереопределяемых. Переопределяемые можно «переписать» файлом pcoip_client_settings.txt
The View PCoIP Client Session Variables (pcoip.client.adm) — настройки протокола PCoIP на клиенте
The View Persona Management (ViewPM.adm) — Настройки Persona

Это беглое знакомство с настройками GPO, ключевые настройки будут разобраны в дальнейшем.
Не лишними будет ознакомиться с доументацией.

Настройка доверительных отношений между доменами Active Directory

Документация по версии 6.0 гласит, в том случае если серверы View находятся в одном домене, а пользователи — в другом, нам потребуются двусторонние доверительные отношения. И не простые, а external non-transitive trust. На помощь придет утилита netdom с ключем trust. Это ограничение признано дефектом продукта.

В версии 6.2 таких ограничений нет, возможны односторонние доверительные отношения, а сами отношения могут быть транзитивными. Особенности администрирования View с односторонними доверительными отношениями изложены в статье Providing Secondary Credentials for Administrators Using the ‑T Option

Кроме того, утилитой vdmadmin с опцией — N можно настроить список доменов, доступных пользователю.

Настройка серверов DHCP для десктопов Horizon View

Пожалуй, все что можно сказать о настройке DHCP, так это то, что для автоматизированного развертывания машин из образов вам потребуется настроить сервер DHCP. Ваш КО.

Возможно, вам встретится какие-то общие вопросы про ошибки с DHCP, почему не получается получать адрес, как настроить ip helper, не более того.

Стоит упомянуть, что если в десктопе несколько сетевых адаптеров, то для работы агента придется внести следующие настройки в реестр.
В разделе:
HKLMSoftwareVMware, Inc.VMware VDMNode ManagerSubnet
создается ключ с именем Subnet типа REG_SZ и значением A.A.A.A/M, где A.A.A.A — адрес подсети, а M — маска. То есть если вы планируете получить на интерфейс с DHCP адрес 10.10.10.100, то значение ключа может быть 10.10.10.0/24.

Экспресс-курс для подготовки к экзамену VMware Horizon View 6. Подготовка окружения для Horizon - 10

Оригинал: www.vladan.fr/vcp6-dtm

Автор: gotch

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js