Mise en route d`une infrastructure Microsoft VDI
Transcription
Mise en route d`une infrastructure Microsoft VDI
Mise en route d'une infrastructure Microsoft VDI (poste de travail virtualisé) Tutorial inspiré des e-démos Microsoft Technet : VDI & Windows Server 2008 R2 Rédigé par Alexandre COURCELLE, Centre Hospitalier de Langres Pré requis matériel Serveur physique avec processeur(s) incluant technologie d’exécution Intel-VT ou AMD-V pour la plateforme de virtualisation 20 Go minimum d’espace libre de stockage avec si possible munis de disques dur de 15000 tours/min ou SSD éventuellement en RAID-1 ou RAID-5 pour la tolérance aux pannes 512 Mo par machine virtuelle, 8 Go de stockage minimum et il faut compter 1 machine par terminaux Pré requis logiciel Systèmes d’exploitation : MS Windows Serveur 2008 R2 Service Pack 1 (standard et entreprise) MS Windows 7 entreprise Service Pack 1, 64 bits Client RDP 7 (inclus dans Windows 7, disponible ICI en téléchargement pour Windows XP Service Pack 3) En option : System Center Virtual Machine Manager 2008 R2 Pré requis de configuration Les services ACTIVE DIRECTORY sont nécessaires et le niveau fonctionnel de la forêt et du domaine OU le schéma ACTIVE DIRECTORY de la forêt et du domaine doit être de type Windows Server 2008 R2 Sur le serveur physique de plateforme de virtualisation doit avoir les rôles Hyper-V et Services de Bureau à distance installés Sur le serveur (virtuel) de redirection vers les postes de travail virtualisés doit avoir le rôle Services de Bureau à distance (plus précisément les services de rôles : Service Broker et Hôte de session) installés Le service de rôle : Gestionnaire des licences Remote Desktop Services qui sera nécessaire peut être installé sur ce même serveur ou sur un contrôleur de domaine Active Directory (recommandé) ou un autre. En option, il possible d’installer le service de rôle : Accès Bureau à distance par le web sur ce même serveur ou un autre. Tutorial d’installation Avant de commencer. Dans ce tutorial il n’est pas expliqué l’installation et la configuration de System Center Virtual Machine Manager 2008 R2. Si vous souhaitez l’utiliser, cela doit être précédemment fait. 1. Active Directory Sur le serveur Active Directory, il faut créer des groupes de sécurité depuis le gestionnaire Utilisateurs et ordinateurs Active Directory dans une Unité d’Organisation créé à votre convenance. Le nom des groupes de sécurité sont : - Clients VDI - Serveurs Hyper-V - Utilisateurs VDI Ensuite, il faut créer des Unités d’Organisation au même niveau que les Unités d’Organisation des postes de travail physique. Nommer cette Unité d’Organisation : Microsoft VDI. Dans le conteneur de cette Unité d’Organisation, nommer 2 Unité d’Organisation : Clients Windows 7 et Terminaux. Allez sur l’Unité d’Organisation : Builtin et sélectionnez le groupe de sécurité : Utilisateurs du Bureau à distance. Puis ajoutez le groupe de sécurité : Utilisateurs VDI à celui-ci. Les serveurs de virtualisation doivent appartenir au groupe de sécurité : Serveurs Hyper-V. 2. Hôte de virtualisation Sur le serveur physique ou les serveurs physiques, il faut installer le rôle Hyper-V et configurer correctement ses paramètres si ce n’est pas fait. Après avoir installé le rôle Hyper-V. il faut installer le rôle Services Bureau à distance et plus précisément les services de rôle : Services de base et Remote FX. Après installation de ces rôles, il n’y a rien à configurer. 3. Hôte de session et Broker – Partie 1 Depuis le Gestionnaire Hyper-V. Il faut créer ce serveur virtuel avec les caractéristiques suivantes : 1. Disque dur dynamique 30 Go 2. Mémoire vive 512 Mo Les autres caractéristiques sont à votre guise… Pendant la création de la machine virtuelle, il est possible d’attacher le fichier image ISO de MS Windows Serveur 2008 R2 standard Service Pack 1, ce qui permet démarrer directement l’installation dès la mise en marche de la machine virtuelle. Une fois l’installation terminée, attribuez une adresse IP fixe au serveur Hôte de session et broker afin qu’il soit joignable par les clients (terminaux ou poste de travail physique). Puis installer les dernières mises à jour à l’aide de Windows Update. Joindre la machine au domaine (redémarrage nécessaire). Activez Windows. Maintenant il faut installer le rôle Services Bureau à distance et plus précisément le service de rôle : Service broker pour les connexions Bureau à distance. Une fois installation de ce service de rôle, redémarrez le serveur. La configuration se fera plus tard dans ce tutorial. Après le redémarrage. Au rôle Services Bureau à distance. Il faut ajouter un autre service de rôle : Hôte de sessions Bureau à distance. Lorsque l’assistant vous demande : 1. la méthode d’authentification, choisissez : « Ne nécessite pas l’authentification au niveau du réseau ». 2. le mode de licence, choisissez : « Configurer ultérieurement » 3. de sélectionner les groupes d’utilisateurs autorisés à accéder à ce serveur Hôte de session Bureau à distance : ne rien ajouter. 4. de configurer l’expérience utilisateur : ne rien cocher. Une fois installation de ce service de rôle terminée, l’installation demandera de redémarrer le serveur. La configuration se fera plus tard dans ce tutorial. 4. Gestionnaire des licences Remote Desktop Services Sur même serveur ou sur un contrôleur de domaine Active Directory (recommandé) ou un autre serveur. Au rôle Services Bureau à distance. Il faut ajouter le service de rôle : Gestionnaire des licences Remote Desktop Services et configurer correctement ses paramètres si ce n’est pas fait. Si ce n’est pas fait et lorsque l’assistant vous demande : 1. De configurer l’étendue de la découverte du Gestionnaire des licences Remote Desktop Services : ne pas cocher si le niveau fonctionnel de la forêt et si aussi les contrôleurs de domaine sont de type Windows Server 2008 R2 2. De sélectionner un emplacement pour la base de données du Gestionnaire des licences Remote Desktop Services : Laisser par défaut ou spécifier à votre guise l’emplacement ou créer l’emplacement « C:\Licences Remote Desktop Services ». Une fois installation de ce service de rôle terminée, il suffit d’aller dans : menu Démarrer >> Outils d’administration >> Services Bureau à distance >> Gestionnaire des licences Remote Desktop Services. Ensuite faire un clic droit sur le serveur de licence RDS >> menu contextuel : Activer le serveur. L’Assistant Activation du Serveur s’affiche. Choisissez le mode de connexion, renseignez les coordonnées de l’entreprise. Vous pouvez enchainer l’installation des licences. Sélectionnez le Programme de licences. Si c’est un pack de licences, saisissez la clé licence (licence Key). Si c’est un contrat de licences, saisissez le numéro de contrat de licences disponible sur le site Microsoft E-Open et spécifiez le nombre exact de licences acquises. Une fois l’assistant terminé, les licences RDS sont prêtes à être consommés. La configuration de ce service de rôle est terminée. 5. Portail web (option) Sur même serveur ou un autre serveur. Au rôle Services Bureau à distance. Il faut ajouter le service de rôle : Accès Bureau à distance par le web. Après l’installation de ce rôle, il faut le configurer afin de spécifier le nom FDQN du serveur broker. Pour cela il suffit d’aller à : menu Démarrer >> Outils d’administration >> Services Bureau à distance >> Configuration de l’accès web des Services Bureau à distance. Une fois sur la page de connexion du portail web des Services Bureau à distance. Il faut s’authentifier avec un compte de niveau d’administrateur du domaine ( exemple : MONDOMAINE\moncompteadmin). Après connexion, cliquez sur l’onglet Configuration et sélectionnez la source : « Un serveur du service Broker pour les connexions Bureau à distance ». Et en nom de la source saisissez le nom FDQN du serveur broker. Puis valider en cliquant sur le bouton OK. Vous pouvez personnaliser le nom du portail web. Pour cela allez sur le serveur Hôte de session et Broker, puis aller à : menu Démarrer >> Outils d’administration >> Services Bureau à distance >> Gestionnaire de connexions des services Bureau à distance. Dans le cadre « État Propriétés Nom Complet», Cliquez sur « Modifier ». Spécifier par exemple : « Mon entreprise – Poste de Travail Virtuel ». 6. Hôte de session et Broker – Partie 2 Retour sur ce serveur Hôte de session et Broker. Ouvrir le Gestionnaire de serveur puis aller à : Configuration >> Utilisateurs et groupes locaux >> Groupes. Sélectionnez le groupe Ordinateurs du service session Broker et ajoutez : Le groupe de sécurité Serveurs Hyper-V Le groupe de sécurité Clients VDI Le serveur broker En option, Sélectionnez le groupe Ordinateurs Accès Web TS et ajoutez : Le serveur portail web Bureau à distance. Ouvrir le Gestionnaire de connexions des services Bureau à distance (menu Démarrer >> Outils d’administration >> Services Bureau à distance) Dans le cadre « Vue d’ensemble », Cliquez sur « Configurer ». Lorsque l’assistant vous demande : 1. De spécifier un serveur hôte de virtualisation des services Bureau à distance. Ajoutez tous vos serveurs Hyper-V 2. De configurer les paramètres de redirection Saisissez le nom NetBIOS du serveur Hôte de session et Broker. Ne pas cocher la case « Activer la redirection pour les versions RDC antérieurs » si le client RDP 7 est installé sur les postes de travail physique et/ou terminaux Ne pas cocher la case « Ne pas configurer automatiquement » 3. De spécifier un serveur d’accès web des Services Bureau à distance Il n’y a rien à saisir puisque cela a été spécifié précédemment 4. De confirmer les modifications Cliquez sur le bouton « Appliquer » 5. Informations résumées Si tous les paramètres saisis sont validé avec succès. Le serveur Hôte de session et Broker est opérationnel. Sinon exécutez de nouveau l’assistant. Fermez l’assistant en n’oubliant pas de décocher la case « Affecter un bureau virtuel personnel ». 6. Fermez le gestionnaire. Ouvrir le gestionnaire d’Hôte de session Bureau à distance. Dans le cadre « Gestionnaire de licences », Cliquez sur « Mode de licence des services Bureau à distance ». Spécifiez le mode de licences « Par périphériques » et le serveur de licence Remote Desktop Services. Validez et fermez le gestionnaire. Installer les dernières mises à jour à l’aide de Windows Update. Ouvrez le Gestionnaire de serveur et allez à : Rôles >> Services Bureau à distance >> cadre Best Practices Analyzer et faites une analyse de ce rôle afin de connaitre la conformité de l’installation. 7. Clients VDI Depuis le Gestionnaire Hyper-V. Il faut créer ce client virtuel avec les caractéristiques suivantes : 1. Disque dur dynamique 30 Go 2. Mémoire vive 512 Mo Les autres caractéristiques sont à votre guise… Pendant la création de la machine virtuelle, il est possible d’attacher le fichier image ISO de MS Windows 7 entreprise Service Pack 1, ce qui permet démarrer directement l’installation dès la mise en marche de la machine virtuelle. Sur l’assistant de finalisation de l’installation. Attribuez-lui par exemple ce nom NetBIOS : VDI-Sysprep et ce nom de compte : Install Une fois l’installation terminée. N’activez pas Windows. Définissez un mot de passe au compte Administrateur local et activez ce compte ( Par défaut, le compte Administrateur local est désactivé et c’est grâce au compte créé à l’installation que l’on peut le faire). Joindre la machine au domaine (redémarrage nécessaire). Après le redémarrage, ouvrez une session uniquement avec le compte Administrateur local. Maintenant il faut procéder à quelques réglages mais vérifiez que sur votre ACTIVE DIRECTORY l’objet Ordinateur de celle-ci reste dans l’Unité d’Organisation : Computers avant de syspreper la machine cliente virtuelle pour un déploiement multiple. Les réglages sont : 1. Supprimer le compte Install ainsi que son profil créé lors de l’installation Windows 7 entreprise Service Pack 1. 2. Il faut activer le Remote Procedure Call (RPC) pour Remote Desktop Services. Ouvrez la base de registre en exécutant la commande « regedit ». Naviguez dans l’arborescence « HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer ». Ajoutez ou modifiez l’entrée de registre « AllowRemoteRPC » de type DWORD et placez la valeur à 1. 3. Allez dans Panneau de configuration >> Pare-feu Windows >> Autoriser un programme ou une fonctionnalité via le Pare-feu Windows Sélectionnez pour le domaine : Bureau à distance, Bureau à distance - Remote FX, Gestion des services à distance. 4. Allez dans la Gestion de l’ordinateur >> Utilisateurs et groupes locaux >> Groupes. a. Sélectionnez le groupe Administrateurs et ajoutez : Le groupe de sécurité : Serveurs Hyper-V. b. Sélectionnez le groupe Utilisateurs du Bureau à distance et ajoutez : Le groupe de sécurité : Utilisateurs VDI. 5. Allez dans les Propriétés de l’Ordinateur >> Paramètres d’utilisation à distance >> Bureau à distance. Sélectionnez : Autoriser la connexion des ordinateurs exécutant n’importe quelle version du Bureau à distance (moins sûr). Normalement en cliquant sur le bouton « Sélectionnez des utilisateurs… », vous devez retrouver le groupe de sécurité : Utilisateurs VDI. 6. (Facultatif) Allez dans Panneau de configuration >> Programmes et fonctionnalités >> Activez ou désactivez des fonctionnalités Windows. Décochez : Composants Tablet PC, Création de DVD Windows & Windows Me dia Center dans Fonctionnalités multimédias, Plateforme Windows Gadget, Services d’impression de numérisation de documents, Services XPS. Cochez : Protocole SNMP. (idéal pour le monitoring) Puis validez les fonctionnalités Windows en cliquant sur le bouton OK. Lorsque ces réglages sont terminés, redémarrez Windows. Par la suite installer vos logiciels favoris non déployable par stratégies de groupes (GPO). Retirez la machine du domaine (redémarrage nécessaire), effectuez un nettoyage de disque C:\. Et pour finir, il faut syspreper la machine virtuelle. Menu Démarrer >> Exécuter… >> saisissez « C:\Windows\System32\sysprep\sysprep.exe » Sur l’outil Sysprep, sélectionner « Entrer en mode OOBE » et cochez la case « Généraliser » et sélectionnez « Arrêtez Windows ». Dès que la machine virtuelle est totalement arrêtée. Le VHD sysprepé est prêt pour déploiement multiple. Sur le gestionnaire Hyper-V du serveur de virtualisation. Allez dans les « Paramètres » de la machine virtuelle et appliquez ces paramètres : 1) BIOS / Ordre de démarrage : CD-Rom en dernier et disque dur en premier 2) Contrôleur IDE 0 ou 1 : supprimer le lecteur CD-Rom virtuel afin que les utilisateurs lambda ne le confondent pas avec un lecteur CD/DVD-Rom physique 3) Services d’intégration : décochez sauvegarde si vous n’avez pas l’intention de le faire 4) Action de démarrage : Toujours démarrer l’ordinateur virtuel avec un retardement de 90 secondes ou plus selon vos besoins 5) Action d’arrêt : Mettre en mémoire l’état de l’ordinateur virtuel L’opération est à répéter si vous souhaitez différents modèle de VHD sysprepé Windows 7 entreprise Service Pack 1. Copiez le VHD sysprepé dans un répertoire dédié au déploiement de celui-ci. Dans le cas où vous avez System Center Virtual Machine Manager 2008 R2. Stocker la machine virtuelle dans sa bibliothèque. Fin de la mise en œuvre du VDI de Microsoft.