Mise en route d`une infrastructure Microsoft VDI

Mise en route d'une infrastructure Microsoft VDI
(poste de travail virtualisé)
 Tutorial inspiré des e-démos Microsoft Technet : VDI & Windows Server 2008 R2
Rédigé par Alexandre COURCELLE, Centre Hospitalier de Langres
Pré requis matériel
Serveur physique avec processeur(s) incluant technologie d’exécution Intel-VT ou AMD-V pour la
plateforme de virtualisation
20 Go minimum d’espace libre de stockage avec si possible munis de disques dur de 15000 tours/min
ou SSD éventuellement en RAID-1 ou RAID-5 pour la tolérance aux pannes
512 Mo par machine virtuelle, 8 Go de stockage minimum et il faut compter 1 machine par
terminaux
Pré requis logiciel
Systèmes d’exploitation :
MS Windows Serveur 2008 R2 Service Pack 1 (standard et entreprise)
MS Windows 7 entreprise Service Pack 1, 64 bits
Client RDP 7 (inclus dans Windows 7, disponible ICI en téléchargement pour
Windows XP Service Pack 3)
En option : System Center Virtual Machine Manager 2008 R2
Pré requis de configuration
Les services ACTIVE DIRECTORY sont nécessaires et le niveau fonctionnel de la forêt et du domaine
OU le schéma ACTIVE DIRECTORY de la forêt et du domaine doit être de type Windows Server 2008
R2
Sur le serveur physique de plateforme de virtualisation doit avoir les rôles Hyper-V et Services de
Bureau à distance installés
Sur le serveur (virtuel) de redirection vers les postes de travail virtualisés doit avoir le rôle Services de
Bureau à distance (plus précisément les services de rôles : Service Broker et Hôte de session) installés
Le service de rôle : Gestionnaire des licences Remote Desktop Services qui sera nécessaire peut être
installé sur ce même serveur ou sur un contrôleur de domaine Active Directory (recommandé) ou un
autre.
En option, il possible d’installer le service de rôle : Accès Bureau à distance par le web sur ce même
serveur ou un autre.
Tutorial d’installation
Avant de commencer. Dans ce tutorial il n’est pas expliqué l’installation et la configuration de System
Center Virtual Machine Manager 2008 R2. Si vous souhaitez l’utiliser, cela doit être précédemment
fait.
1. Active Directory
Sur le serveur Active Directory, il faut créer des groupes de sécurité depuis le gestionnaire
Utilisateurs et ordinateurs Active Directory dans une Unité d’Organisation créé à votre convenance.
Le nom des groupes de sécurité sont :
- Clients VDI
- Serveurs Hyper-V
- Utilisateurs VDI
Ensuite, il faut créer des Unités d’Organisation au même niveau que les Unités d’Organisation des
postes de travail physique. Nommer cette Unité d’Organisation : Microsoft VDI.
Dans le conteneur de cette Unité d’Organisation, nommer 2 Unité d’Organisation : Clients Windows 7
et Terminaux.
Allez sur l’Unité d’Organisation : Builtin et sélectionnez le groupe de sécurité : Utilisateurs du Bureau
à distance. Puis ajoutez le groupe de sécurité : Utilisateurs VDI à celui-ci.
Les serveurs de virtualisation doivent appartenir au groupe de sécurité : Serveurs Hyper-V.
2. Hôte de virtualisation
Sur le serveur physique ou les serveurs physiques, il faut installer le rôle Hyper-V et configurer
correctement ses paramètres si ce n’est pas fait.
Après avoir installé le rôle Hyper-V. il faut installer le rôle Services Bureau à distance et plus
précisément les services de rôle : Services de base et Remote FX.
Après installation de ces rôles, il n’y a rien à configurer.
3. Hôte de session et Broker – Partie 1
Depuis le Gestionnaire Hyper-V. Il faut créer ce serveur virtuel avec les caractéristiques suivantes :
1. Disque dur dynamique 30 Go
2. Mémoire vive 512 Mo
Les autres caractéristiques sont à votre guise…
Pendant la création de la machine virtuelle, il est possible d’attacher le fichier image ISO de MS
Windows Serveur 2008 R2 standard Service Pack 1, ce qui permet démarrer directement l’installation
dès la mise en marche de la machine virtuelle.
Une fois l’installation terminée, attribuez une adresse IP fixe au serveur Hôte de session et broker afin
qu’il soit joignable par les clients (terminaux ou poste de travail physique). Puis installer les dernières
mises à jour à l’aide de Windows Update. Joindre la machine au domaine (redémarrage nécessaire).
Activez Windows.
Maintenant il faut installer le rôle Services Bureau à distance et plus précisément le service de rôle :
Service broker pour les connexions Bureau à distance. Une fois installation de ce service de rôle,
redémarrez le serveur.
La configuration se fera plus tard dans ce tutorial.
Après le redémarrage. Au rôle Services Bureau à distance. Il faut ajouter un autre service de rôle :
Hôte de sessions Bureau à distance. Lorsque l’assistant vous demande :
1. la méthode d’authentification, choisissez : « Ne nécessite pas l’authentification au niveau du
réseau ».
2. le mode de licence, choisissez : « Configurer ultérieurement »
3. de sélectionner les groupes d’utilisateurs autorisés à accéder à ce serveur Hôte de session
Bureau à distance : ne rien ajouter.
4. de configurer l’expérience utilisateur : ne rien cocher.
Une fois installation de ce service de rôle terminée, l’installation demandera de redémarrer le
serveur.
La configuration se fera plus tard dans ce tutorial.
4. Gestionnaire des licences Remote Desktop Services
Sur même serveur ou sur un contrôleur de domaine Active Directory (recommandé) ou un autre
serveur. Au rôle Services Bureau à distance. Il faut ajouter le service de rôle : Gestionnaire des
licences Remote Desktop Services et configurer correctement ses paramètres si ce n’est pas fait.
Si ce n’est pas fait et lorsque l’assistant vous demande :
1. De configurer l’étendue de la découverte du Gestionnaire des licences Remote Desktop
Services : ne pas cocher si le niveau fonctionnel de la forêt et si aussi les contrôleurs de
domaine sont de type Windows Server 2008 R2
2. De sélectionner un emplacement pour la base de données du Gestionnaire des licences
Remote Desktop Services : Laisser par défaut ou spécifier à votre guise l’emplacement ou
créer l’emplacement « C:\Licences Remote Desktop Services ».
Une fois installation de ce service de rôle terminée, il suffit d’aller dans : menu Démarrer >> Outils
d’administration >> Services Bureau à distance >> Gestionnaire des licences Remote Desktop Services.
Ensuite faire un clic droit sur le serveur de licence RDS >> menu contextuel : Activer le serveur.
L’Assistant Activation du Serveur s’affiche. Choisissez le mode de connexion, renseignez les
coordonnées de l’entreprise.
Vous pouvez enchainer l’installation des licences. Sélectionnez le Programme de licences. Si c’est un
pack de licences, saisissez la clé licence (licence Key). Si c’est un contrat de licences, saisissez le
numéro de contrat de licences disponible sur le site Microsoft E-Open et spécifiez le nombre exact de
licences acquises.
Une fois l’assistant terminé, les licences RDS sont prêtes à être consommés.
La configuration de ce service de rôle est terminée.
5. Portail web (option)
Sur même serveur ou un autre serveur. Au rôle Services Bureau à distance. Il faut ajouter le service
de rôle : Accès Bureau à distance par le web.
Après l’installation de ce rôle, il faut le configurer afin de spécifier le nom FDQN du serveur broker.
Pour cela il suffit d’aller à : menu Démarrer >> Outils d’administration >> Services Bureau à distance
>> Configuration de l’accès web des Services Bureau à distance.
Une fois sur la page de connexion du portail web des Services Bureau à distance. Il faut s’authentifier
avec un compte de niveau d’administrateur du domaine ( exemple : MONDOMAINE\moncompteadmin).
Après connexion, cliquez sur l’onglet Configuration et sélectionnez la source : « Un serveur du service
Broker pour les connexions Bureau à distance ». Et en nom de la source saisissez le nom FDQN du
serveur broker. Puis valider en cliquant sur le bouton OK.
Vous pouvez personnaliser le nom du portail web. Pour cela allez sur le serveur Hôte de session et
Broker, puis aller à : menu Démarrer >> Outils d’administration >> Services Bureau à distance >>
Gestionnaire de connexions des services Bureau à distance.
Dans le cadre « État Propriétés Nom Complet», Cliquez sur « Modifier ».
Spécifier par exemple : « Mon entreprise – Poste de Travail Virtuel ».
6. Hôte de session et Broker – Partie 2
Retour sur ce serveur Hôte de session et Broker.
Ouvrir le Gestionnaire de serveur puis aller à : Configuration >> Utilisateurs et groupes locaux >>
Groupes.
Sélectionnez le groupe Ordinateurs du service session Broker et ajoutez :
Le groupe de sécurité Serveurs Hyper-V
Le groupe de sécurité Clients VDI
Le serveur broker
En option, Sélectionnez le groupe Ordinateurs Accès Web TS et ajoutez :
Le serveur portail web Bureau à distance.
Ouvrir le Gestionnaire de connexions des services Bureau à distance (menu Démarrer >> Outils
d’administration >> Services Bureau à distance)
Dans le cadre « Vue d’ensemble », Cliquez sur « Configurer ».
Lorsque l’assistant vous demande :
1. De spécifier un serveur hôte de virtualisation des services Bureau à distance.
Ajoutez tous vos serveurs Hyper-V
2. De configurer les paramètres de redirection
Saisissez le nom NetBIOS du serveur Hôte de session et Broker.
Ne pas cocher la case « Activer la redirection pour les versions RDC antérieurs » si le client
RDP 7 est installé sur les postes de travail physique et/ou terminaux
Ne pas cocher la case « Ne pas configurer automatiquement »
3. De spécifier un serveur d’accès web des Services Bureau à distance
Il n’y a rien à saisir puisque cela a été spécifié précédemment
4. De confirmer les modifications
Cliquez sur le bouton « Appliquer »
5. Informations résumées
Si tous les paramètres saisis sont validé avec succès. Le serveur Hôte de session et Broker
est opérationnel. Sinon exécutez de nouveau l’assistant.
Fermez l’assistant en n’oubliant pas de décocher la case « Affecter un bureau virtuel
personnel ».
6. Fermez le gestionnaire.
Ouvrir le gestionnaire d’Hôte de session Bureau à distance.
Dans le cadre « Gestionnaire de licences », Cliquez sur « Mode de licence des services Bureau à
distance ».
Spécifiez le mode de licences « Par périphériques » et le serveur de licence Remote Desktop Services.
Validez et fermez le gestionnaire.
Installer les dernières mises à jour à l’aide de Windows Update.
Ouvrez le Gestionnaire de serveur et allez à : Rôles >> Services Bureau à distance >> cadre Best
Practices Analyzer et faites une analyse de ce rôle afin de connaitre la conformité de l’installation.
7. Clients VDI
Depuis le Gestionnaire Hyper-V. Il faut créer ce client virtuel avec les caractéristiques suivantes :
1. Disque dur dynamique 30 Go
2. Mémoire vive 512 Mo
Les autres caractéristiques sont à votre guise…
Pendant la création de la machine virtuelle, il est possible d’attacher le fichier image ISO de MS
Windows 7 entreprise Service Pack 1, ce qui permet démarrer directement l’installation dès la mise
en marche de la machine virtuelle. Sur l’assistant de finalisation de l’installation. Attribuez-lui par
exemple ce nom NetBIOS : VDI-Sysprep et ce nom de compte : Install
Une fois l’installation terminée. N’activez pas Windows. Définissez un mot de passe au compte
Administrateur local et activez ce compte ( Par défaut, le compte Administrateur local est désactivé et c’est grâce au
compte créé à l’installation que l’on peut le faire). Joindre la machine au domaine (redémarrage nécessaire).
Après le redémarrage, ouvrez une session uniquement avec le compte Administrateur local.
Maintenant il faut procéder à quelques réglages mais vérifiez que sur votre ACTIVE DIRECTORY
l’objet Ordinateur de celle-ci reste dans l’Unité d’Organisation : Computers avant de syspreper la
machine cliente virtuelle pour un déploiement multiple.
Les réglages sont :
1. Supprimer le compte Install ainsi que son profil créé lors de l’installation Windows 7
entreprise Service Pack 1.
2. Il faut activer le Remote Procedure Call (RPC) pour Remote Desktop Services. Ouvrez la base
de registre en exécutant la commande « regedit ». Naviguez dans l’arborescence «
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer ». Ajoutez ou
modifiez l’entrée de registre « AllowRemoteRPC » de type DWORD et placez la valeur à 1.
3. Allez dans Panneau de configuration >> Pare-feu Windows >> Autoriser un programme ou
une fonctionnalité via le Pare-feu Windows
Sélectionnez pour le domaine : Bureau à distance, Bureau à distance - Remote FX, Gestion
des services à distance.
4. Allez dans la Gestion de l’ordinateur >> Utilisateurs et groupes locaux >> Groupes.
a. Sélectionnez le groupe Administrateurs et ajoutez :
Le groupe de sécurité : Serveurs Hyper-V.
b. Sélectionnez le groupe Utilisateurs du Bureau à distance et ajoutez :
Le groupe de sécurité : Utilisateurs VDI.
5. Allez dans les Propriétés de l’Ordinateur >> Paramètres d’utilisation à distance >> Bureau à
distance.
Sélectionnez : Autoriser la connexion des ordinateurs exécutant n’importe quelle version du
Bureau à distance (moins sûr). Normalement en cliquant sur le bouton « Sélectionnez des
utilisateurs… », vous devez retrouver le groupe de sécurité : Utilisateurs VDI.
6. (Facultatif) Allez dans Panneau de configuration >> Programmes et fonctionnalités >> Activez
ou désactivez des fonctionnalités Windows.
Décochez : Composants Tablet PC, Création de DVD Windows & Windows Me dia Center dans
Fonctionnalités multimédias, Plateforme Windows Gadget, Services d’impression de
numérisation de documents, Services XPS.
Cochez : Protocole SNMP. (idéal pour le monitoring)
Puis validez les fonctionnalités Windows en cliquant sur le bouton OK.
Lorsque ces réglages sont terminés, redémarrez Windows.
Par la suite installer vos logiciels favoris non déployable par stratégies de groupes (GPO).
Retirez la machine du domaine (redémarrage nécessaire), effectuez un nettoyage de disque C:\.
Et pour finir, il faut syspreper la machine virtuelle.
Menu Démarrer >> Exécuter… >> saisissez « C:\Windows\System32\sysprep\sysprep.exe »
Sur l’outil Sysprep, sélectionner « Entrer en mode OOBE » et cochez la case « Généraliser » et
sélectionnez « Arrêtez Windows ».
Dès que la machine virtuelle est totalement arrêtée. Le VHD sysprepé est prêt pour déploiement
multiple.
Sur le gestionnaire Hyper-V du serveur de virtualisation. Allez dans les « Paramètres » de la machine
virtuelle et appliquez ces paramètres :
1) BIOS / Ordre de démarrage : CD-Rom en dernier et disque dur en premier
2) Contrôleur IDE 0 ou 1 : supprimer le lecteur CD-Rom virtuel afin que les utilisateurs
lambda ne le confondent pas avec un lecteur CD/DVD-Rom physique
3) Services d’intégration : décochez sauvegarde si vous n’avez pas l’intention de le faire
4) Action de démarrage : Toujours démarrer l’ordinateur virtuel avec un retardement
de 90 secondes ou plus selon vos besoins
5) Action d’arrêt : Mettre en mémoire l’état de l’ordinateur virtuel
L’opération est à répéter si vous souhaitez différents modèle de VHD sysprepé Windows 7 entreprise
Service Pack 1.
Copiez le VHD sysprepé dans un répertoire dédié au déploiement de celui-ci.
Dans le cas où vous avez System Center Virtual Machine Manager 2008 R2.
Stocker la machine virtuelle dans sa bibliothèque.
Fin de la mise en œuvre du VDI de Microsoft.