22

La virtualisation de présentation et de postes de travail dans tout ses états !

WIN304Christian-Pierre BELINJérôme MOMBELLIMicrosoft

33

Agenda

Les nouveaux services RDS de Windows Server 2008 R2VDI vs Sessions?Les différents rôles RDSBâtir une infrastructure RDSRassembler les différentes briquesLe meilleur des 2 approches…Q&A

44

Déport d’affichage

RDP 4.0Client Web

Aujourd’hui

RDP 7.0Connection brokerFiltrage applicatifApp-VVDI

Ferme TSRDP 5.0Redirection x64

RemoteAppAccès WebRDP 6.0

Les évolutions de Terminal Services Rem

ote Desktop Services

Terminal Services

55

Les points clef que propose RDS

Experience Full-Fidelity RDS & VDI – Une solution intégrée

Applications distantes

Capitalisation sur Hyper-V™ pour héberger les VMs

Un connexion broker unifié

Une seule infrastructure de publication

RemoteApp & Desktop Connection

RemoteApp & Desktop Web Access

Améliorations sécuritaires pour RD Gateway

Support d’écrans multiples

Support multimédia& audio bidirectionnel

Accélération graphique pour les appli 3D et le

contenu riche

Plateforme & ManagementNouvelles API, Extensibilité du Connection Broker,

Support de PowerShell™, IP virtualisation, RD EasyPrint

66

Hypervisor

Client OSServer OS

Virtualisation de session VS virtualisation d’OS client

Client OS 1 Client OS n

77

Pourquoi s’appuyer sur 2 technologies?Sessions Vs VDI

La technologie VDI permet de répondre à certaines limites ou contraintes du modèle « sessions»

Session VDI

Maturité de la technologie Prouvée Emergeante

Montée en charge Le meilleur ratio user/Server Ratio User/Server moindre

Isolation/Sécurité Isolation par sessionL’OS est partagé Utilisateurs standards

Isolation par VML’OS est dédiéAdministrateur

Expérience utilisateur distante Dépend du réseau Dépend du réseau

Flexibilité Utilisateur sans privilèges L’utilisateur peut être admin

Compatibilité applicative Windows Server OS Windows Client desktop

88

Notre vision au travers de RDSUne approche basée sur 2 technologies

Connection Broker

Infrastructure TS Infrastructure VDI

99

La solution RDS de MicrosoftEt les extensions partenaires

Solutions Partenaires

R2

1010

Les différents rôles RDS

•Propose un environnement multi-sessions (ex Serveur TS)

•Héberge les sessions pour les RemoteApp et bureaux virtuels

RD Session Host

•Propose un environnement pour des OS clients virtualisés

•Héberge les machines virtuelles VDI

•Répond au pilotage du Connection Broker

RD Virtualization Host

•Assure les rôles de gestionnaire de ferme, publication et routage vers les ressources

•Agrège les différentes ressources (RemoteApp, VDI en Pool ou personal)

•Route les utilisateurs vers les bonnes ressources, pilote les serveurs RDVH

RD Connection Broker

•Propose une interface de publication des ressources

•2 modes pour recueillir les ressources: Depuis un RDSH ou un CB

•Possibilité de définir plusieurs sources afin d’agréger les ressources

RD Web Access

•Propose l’accès aux ressources en HTTPS

•Permet de gérer les scénarii d’usage depuis Internet

•Intègre des mécanismes sécuritaires pour les postes externes et les flux

RD Gateway

1111

RD Session Host

Nouveau nom du serveur Terminal serviceC’est le serveur sur lequel sont installées les applications

Installation localeInstallation via App-V

Il propose un accèsSoit à un Bureau virtuel (Remote Desktop)Soit juste à une application (RemoteApp)

Peut être intégré au sein d’une ferme Remote Desktop

Client

1. L’utilisateur accède à une RemoteApp

2. Le serveur RDSH instancie un contexte de sécurité (session) et démarre l’application

RD Session Host

1212

RD Virtualization Host

En charge de l’orchestration des VMs VDIHéberge les VMsGère les opérations relatives aux VMs:

DémarrageArrêtPauseRetour arrière (Snapshot)

Ce rôle est installé via le service du rôle Remote Desktop Virtualization Host (VmHostAgent Service, tsvmhasvc.dll)

Le rôle Hyper-V est installé et utiliséLe serveur RDVH est pilote par le connection BrokerCollecte les informations sur les VMs afin d’alimenter le Connection BrokerLe serveur RDVH peut être intégrer au sein d’un cluster (LM, QSM, HA…)

RD Connection Broker &

Redirecteur

RD Virtualization Host

Remote Desktop

Client

1. L’utilisateur demande l’accès à une VM

2. Le RDCB détermine la bonne VM

3. Le RDCB demande au RDVH de démarrer la VM

4. Le RDVH indique que la VM est accessible

5. Le RDCB (redirecteur) redirige le client vers la VM

1313

RD Connection Broker

Il s’agit là encore d’un rôle Remote Desktop qui assure:

Connection BrokerService de publicationRedirecteur

Les rôles Connection broker & redirecteur peuvent être dissociésLe serveur peut être mis en

haute disponibilité

RD Connection Broker & Publication

1. Le RDCB retrouve les ressources

et les publie

2. RD Web Access

récupère ces informations

RD Web Access

3. l’utilisateur clique sur ces informations pour accéder à la ressource

RD Virtualization Host

RD Session Host

4. L’utilisateur se connecte à la ressource

1414

RD Connection Broker

Installe 2 servicesConnection Broker : tssdisService de Publication : tscpubrpc

Connection broker Gère l’ensemble des connexions RDS et RDVStocke l’état des sessions dans une base, ce qui permet

d’assurer les reconnexions et l’équilibrage de chargeFait appel au service de « Publication centralisée » afin

d’assurer les connexions vers les VM en mode Personnel

1515

Service de Publication

Agrège l’ensemble des programmes RemoteApp depuis les serveurs RDSHMaintient la liste des VMs en mode Pool et requête l’AD pour

les VMs en mode PersonnelLe serveur RD Web Access fait appel à ce service pour obtenir

la liste des ressources disponibles pour un utilisateur donnéRecherche les VMs assignées aux utilisateurs pour le compte

du Connection BrokerEst à l’écoute sur le port 5504

1616

Le Redirecteur

Il s’agit d’un serveur RDSH configuré pour rediriger les utilisateur (Drain mode)

Transmet les demandes de connexions RDP au Connection Broker et retourne la liste des @ IP reçues du CBUn redirecteur peut servir à la fois des VMs en mode Pool

et PersonnelLes utilisateurs n’ouvrent jamais de session sur le

redirecteur, mais doivent tout de même appartenir au groupe local « Remote desktop users »

Le redirecteur étant configuré en « Drain mode », cela implique qu’aucune session RDP ne peut être ouverte sur le redirecteur

Pour les accès en mode administration, mstsc /admin

1717

RD Web Access

C’est le portail Web utilisé pour publier les ressources aux utilisateurs:Ces ressources sont filtrées en fonction des habilitations des utilisateursLes ressources peuvent être:

Des RemoteAppsDes bureaux virtuels (session)Des machines virtuelles (VDI)Et un 4ième type de ressource!

Le portail Web Access est capable d’agréger les ressources provenant de plusieurs sources RDLe serveur RD Web Access offre l’interface de synchronisation en feed RSS pour les RemoteApp & Desktop Connexion

RD Connexion Broker & Publication

1. Le RD Web Access retrouve les ressources

et les publie

2. Les clients accèdent à ces ressources via un portail Web

RD Web Access

RD Session Host

RemoteApp & Desktop Connection (windows 7)

2. Les clients Windows 7

Synchronisent ces ressources via un flux RSS

Client RDP

OU

1818

RD Gateway

Fournit un accès HTTP/s au ressources RDPNe remplace pas un VPN ou

DirectAccessPropose des fonctionnalités de

sécurité avancées:Intégration avec NPS (Radius)Intégration avec NAPNouveau: Redirection de périphérique sécurisée

Nécessite des Session Hosts 2008 R2 & VMs Win7 VDI

Nouveau: gestion du consentement

RD Gateway

AD / NAP / NPS

1. L’utilisateur demande une

connexion basée sur HTTPS

2. La gateway évalue les stratégies

RD Virtualization

Host(s)

RD Session Host

3. Connexion RDP vers les

ressources

1919

Séquence de découverte

Client

RD Web Access

RDSH

RD Connection Broker

Active DirectoryDMZ

WMI

1

HTT

PS

1. Accès aux ressources

4

LDAP

4. Requête les VMs assignées / utilisateurs

5

5. S’il existe une VM assignée, récupère le fichier RDP.

6

6. Récupère les VMs en Pool.

A

2RPC: Port 5504

2. Recherche des ressources. Transmet le SID de l’utilisateur pour le filtrage . Voir A

A. Le compte machine RDWA doit appartenir au groupe “TS Web Access Computers” du RDCB

3

WM

I

B3. Récupère et agrège

les ressources depuis les RDSH. Voir B

B. Le compte machine RDCB doit avoir les droits d’appel DCOM et WMI (TerminalServices). Par défaut, le groupe “TS Web Access Computers” a ces droits.

7C

7. Les RemoteApps sont filtrées en fonction des Security Descriptor définis sur les RDSH. Voir C

C. Le filtrage des remoteApps nécessite que le compte machine du RDCB soit dans le groupe “Windows Authorization Access Group”.

2020

Séquence de connexion

RD Connection Broker

RD Redirector

VMsRDV Host

Client

3 RPC

3 Appel au Service de Publication afin d’obtenir les infos sur la VM

5 WMI

5 Préparation de la VM.

6

6 Une fois la VM prête pour la connexion, renvoi des @ IP.

7RDP

7 Le client effectue la connexion RDP à partir des @ IP

RDP

1A

1 Début de la connexion RDP à la VM. Voir A.

A L’utilisateur doit appartenir au groupe RDU

B

2 RPC

2 Obtention des @ IP de la machine cible. Le nom d’utilisateur, du domaine et du type de cible sont envoyés. Voir B.

B Le redirecteur doit être dans le groupe “Session Broker Computers”

4C

RPC4 Récupération des @ IP

depuis l’agent sur le RDVH. Voir C.

C Le Connection Broker doit appartenir au groupe “TS Web Access Computers”

2121

Bâtir une infrastructure RDS

0 – importance des certificats SSL1 – Préparer le serveur RD Session Host & les applicatifs2 – Publier les ressources RemoteApp3 – Préparer Hyper-V & RD Virtualization Host4 – Préparer les OS client des VMs 5 – Configurer le Redirecteur & le Broker6 – Définir les modes d’accès VDI7 – Publier les ressources VDI

2222

Etape 0 – Importance des certificats

L’utilisation du RDP signing permet de bénéficier de:Web Single sign-onTrusted behaviorsRemoteApp & Desktop ConnectionsEtc…

Assurez-vous d’avoir des certificats SSLPour l’utilisation sur le RD Web AccessLe certificat de la CA Racine déployé

Déploiement du certificat de la CA racine sur le parc clientPas nécessaire s’il s’agit d’une CA tierce reconnueUtilisation des GPO pour les clients managésDéploiement manuel pour les autres

2323

Etape 1 – Préparer le serveur RD Session Host & les applicatifs

Installation du rôle RD Session HostConfiguration des paramètres pour rejoindre une ferme, de

sécurité…La configuration d’un serveur RDSH peut être automatisée

via GPO ou scriptInstallation des applicatifs

Possibilité d’utiliser des packages App-VInstallation de l’agent App-V pour RDSDes outils permettent de repérer d’éventuel problèmes de

compatibilité et de les résoudre: https://connect.microsoft.com/tsappcompat/Downloads.

2424

Etape 2 – Publier les ressources RemoteApp

Utilisation de la console RemoteApp Manager ou de Server ManagerDéfinition des règles d’accès au RemoteApp

RDP signingRD Gateway

Création des RemoteAppsApplication des règles de filtrageDéfinition des méthodes de publication

Création de packages MSI ou RDP pour télédistributionPublication sur le portail Web / RemoteApp & Desktop

Connections

2525

DémoRDSH & la gestion des RemoteApps

2626

Etape 3 – Préparer Hyper-V & RD Virtualization Host

Installation du rôle Hyper-VInstallation du rôle RD Virtualization Host

Combien de VMs ce serveur pourra accueillir ?Comme pour les sessions, cela dépend:

Des applications au sein des VMsDes donnéesDe la nature des OS (Windows 7)

2727

Etape 4 – Préparer les OS client des VMs

Les OS Windows XP, Vista et Windows 7 sont supportésPour Windows XP et Vista:

Installation des composants d’intégration Hyper-VConfiguration des postes en VDI:

Activer Remote Desktop ServiceAjouter le groupe d’utilisateur VDI dans le groupe RD usersActiver les Remote RPC

Set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\AllowRemoteRPC from 0 to 1.

Autoriser sur le firewall le flux Remote Service ManagementPositionner les permissions RDP

Add the VM Host machine account to the RDP Listener permissions. This must be done by a VB script or a PowerShell script as the UI is not available on client SKUsThe RDVH Server computer account needs the WINSTATION_QUERY, WINSTATION_LOGOFF, and WINSTATION_DISCONNECT permissions on each virtual machine in the virtual desktop poolCan only be done after domain join

Heureusement, un script permet d’automatiser toutes ces étapeshttp://gallery.technet.microsoft.com/ScriptCenter/en-us/bd2e02d0-efe7-4f89-84e5-7ad70f9a7bf0

2828

Etape 5 – Configurer le Redirecteur & le Broker

Les 2 rôles peuvent être séparésLe Connection broker est un rôle RDLe redirecteur est en fait un serveur RDSH configuré

en tant que redirecteurUne seule étape pour le configurerL’assistant de création des postes en VDI gère

automatiquement cette étape

2929

Etape 6 – Définir les modes d’accès VDI

Bureau virtuel personnel

Bureau virtuel en Pool

Bureau virtuel personnelUn OS par utilisateur Poste personnalisable, accès pour des administrateursLe contexte utilisateur fait à priori parti de l’OS

Bureau virtuel en PoolLes OS sont partagés et configurés de manière identiqueCe mode n’est pas recommandé pour des administrateursLe contexte utilisateur est temporaire

3030

Etape 7 – Publier les ressources VDI

Les machines virtuelles en VDI sont des ressources qui seront vues comme les autres ressources RDS, ie les RemoteApps ou Remote Desktop.

On utilise donc les mêmes méthodes de publication:Portail WebRemoteApp & Desktop ConnectionL’approche pourra donc au final:

Proposer une vue unifiée aux utilisateursCapitaliser sur l’infrastructure RDS existante

3131

DémoGestion des machines en VDIPublication unifiée

3232

RemoteApp • Gestion optimisée en terme de

coûts• Administration optimisée• Meilleur ratio d’utilisation

matérielle & logicielle

Poste VDI personnel• Coût élevé en terme de gestion

d’images• Accès administrateur• Ratio le plus bas en terme

d’utilisation HW & SW• Meilleur niveau de compatibilité

pour les applicatifs

Poste VDI en pool• Coût intermédiaire pour la

gestion des images• Administration plus simple que

le mode VDI personnel• Utilise moins de ressources que

le mode VDI personnel• Meilleur niveau de compatibilité

pour les applicatifs

Mixez & Choisissez vos options en fonction des besoins de vos utilisateurs

En résumé, les différentes options…

3333

Le meilleur des deux mondes?

RemoteApp for Hyper-VPublication granulaire d’applications contenues dans une

machine virtuelle VDI (OS client)Simplification de la compatibilité applicative

Application non compatible RDS ou système d’exploitation des postes richesFondu de la fenêtre de l’applicationUtilisation de la même infrastructure RDS

Supporté pour des VMs de type:Windows 7Windows XP SP3Windows Vista SP1

3434

DémoRemoteApp for Hyper-V

3737

Nos premières références

Lorsqu’il s’agit de moderniser sa plate-forme de publication des applications, le numéro un mondial de l’assurance crédit choisit la simplicité et opte pour Windows Server 2008 R2. À la clé : simplicité de mise en œuvre, facilité de déploiement et économies !

Virtualisation de la présentation

Pour limiter l’administration de ses serveurs -aujourd’hui au nombre de 850-, MAAF Assurances opte pour la virtualisation avec Windows 2008 R2 et Hyper-V. Objectif : moins de 100 serveurs d’ici 2010 ! Également à la clé : proposer à ses partenaires bancaires un poste de travail complet et simple à administrer.

Virtualisation du poste de travail (VDI)

3838

Questions

4040

$21/device/year $53/device/year

Two simple SKUs for Microsoft VDISimple device based annual subscription model

All components of Standard Suite, plus unrestricted RDS rights and App-V for RDS

Hyper-V, MDOP, SCVMM, and VDI -restricted rights to SCOM, SCCM and RDS

OU

Windows Virtual Enterprise Centralized Desktop (Windows VECD)

3rd Party Products add value to the Microsoft VDI Suite

Simple Licensing

Both SKUs are significantly cheaper than the competitionEnterprise grade features at a low price point in conjunction with partners

Application virtualization, integrated management included in base SKUChoice of VDI and session based desktops in premium SKU

Excellent Value

Comprehensive Technology

La CAL VDI Microsoft a été développée afin de simplifier la gestion des licences des différentes briques de l’infrastructure

Les différentes CAL VDI