ROBUSTA giới thiệu bài thực hành Horizon View Server 5.2


 

Nguồn: http://robusta.vn/forum/

Phần 1: Cài đặt Horizon View Server  5.2

 

1.       Chuẩn bị một máy ảo Windows Server 2008 R2 SP1 và bạn tiến hành cấu hình bình thường như việc join nó tới domain của bạn. ( máy ảo Windows Server 2012 không hỗ trợ cài View 5.2).

2.       Dowload các thành phần Horizon Suite 1.0 từ website của VMware. Copy bộ cài đặt Connection Server đến máy ảo bạn vừa tạo và tiến hành cài đặt

3.       Khi đến mục Destination Folder, bạn có thể bỏ đường dẫn mặc định hoặc để nó ở một nơi khác. Trong hình dưới tôi để nó ở ổ C

 

 

4.       Tiếp theo bạn quyết định quyền máy chủ tham gia sẽ được dùng như thế nào. Ở đây, chúng tôi để ở quyền View Standard Server.

 

 

 

5.       Chương trình sẽ nhắc bạn tạo một mật khẩu để khôi phục dữ liệu. Để tránh trường hợp máy chủ View của bạn không hoạt động được hoặc phải đối mặt với các vấn đề khác, bạn cần phải thiết lập một mật khẩu an toàn để phục hồi lại môi trường của mình. Pass có thể từ 1 đến 128 kí tự.

6.       Nếu trong môi trường của bạn, bạn có sử dụng Windows firewall, View có thể tự động cấu hình các quy định thích hợp – nên sẽ để ỏ chế độ Configure Windows Firewall automatically. Chú ý rằng nếu bạn muốn sử dụng máy chủ bảo mật, thì nó yêu cầu phải sử dụng Windows firewall để thiết lập một kết nối IPsec đến máy chủ kết nối. Bởi vậy lời khuyên dành cho bạn nên dùng Windows firewall.

7.       Bây giờ bạn cần nói cho View biết nhóm quản trị nào sẽ có quyền truy nhập vào bảng điều khiển của View. Dưới đây tôi để tên nhóm là “APP_View_All_Administrator”. Bạn nên tạo tên nhóm riêng cho mình

8.       Tiếp đó, chuwong trình sẽ hỏi bạn có muốn gửi dữ liệu dấu tên đến VMware không. Chọn NO

9.       Click Install và đợi quá trình cài đặt hoàn thành.

 

 

Phần 2: Cấu hình chữ kí số SSL cho Horizon View

 

Có nhiều cách để cấu hình chữ kí số SSL. Bạn nên sử dụng chữ kí số CA thương mại, có thể của Microsoft hoặc của một tổ chức khác mà bạn muốn. Không giống như các thành phần khác của vCenter, chữ ký số SSL của View không cần sử dụng các yếu tố nào khác ngoài việc sử dụng máy chủ Authentication.  Không có các thành phần OU, không cần xác thực khách hàng, không có mã hóa dữ liệu…Tôi khuyên nên sử dụng một chứng thực SAN, vì với cái đó bạn có thể truy cập vào máy chủ thông qua shortname và FQDN mà không bị lỗi xác thực.

CA đã được cấu hình và đưa ra một loạt các mẫu xác thực, một trong số đó tôi gọi là “ Server Authentication-SAN”.

1.       Trong máy chủ View, mở một MMC trống. Thêm Certificates snap-in và chọn Computer account

2.       Personal certificates và tùy thuộc vào chính sách auto-enrollment trong domain của bạn, bạn có thể tìm ra 2 hoặc nhiều hơn chứng nhận được liệt kê ra. Một trong những chứng nhận này là chứng nhận tự ký của VMware, cái này chúng ta không muốn sử dụng. Bạn có thể thấy điều này khi nhìn vào mục “Issued By”.

 

3.       Bây giờ chúng ta muốn yêu cầu một chứng nhận mới từ CA online của chúng ta, thông qua chương trình yêu cầu sau. Click chuột phải vào Certificates, chọn All tasks, sau đó Request New certificate.

 

 

 

4.       Click couple vào trình điều khiển bạn sẽ nhìn thấy Active Directory Enrollment Policy được liệt kê ra.

 

5.       Click Next và bạn sẽ nhìn thấy một hoặc nhiều thành phần cái mà người quản trị CA của bạn đã published ra. Nếu bạn sử dụng chuẩn “Computer” làm mẫu, CA sẽ loại bỏ bất kì giá trị SAN nào khi bạn nhập vào. Bởi vậy, nếu bạn muốn chứng nhận SAN bạn sẽ phải sử dụng mẫu CA mà cho phép được sử dụng như vậy. Vì các chứng nhận SAN không phổ biến, nên tôi cần có một mẫu chứng nhận sẵn sàng.

6.       Kiểm tra trong box tiếp theo trong mẫu SAN của bạn. Click vào dòng text tiếp theo có cảnh báo màu vàng. Trong tab này, bạn cần phải cấu hình”Common name” cho subject name và thêm 2 tên vào DNS.

7.       Click vào tab General và điền vào một friendly name là vdm

8.       Click vào tab Private Key và chọn lựa chọn Make private key exportable

9.       Click OK sau đó click vào Enroll. Nếu đúng bạn sẽ nhận được một thông báo thành công.

 

10.   Click double vào MMC trong một certificate mới và xác nhận tất cả các yếu tố

 

11.   Trong phần này bạn hoặc là xóa chữ kí tự sinh của VMware hoặc phải chuyển tên vdm đến VMware certificate. View sẽ nhìn thấy kí tự chứng nhận với cái tên vdn. Để thực hiện bạn click chuột phải vào VMware certificate và chọn Properties, sau đó xóa friendlu name.

12.    Khởi động lại tất cả các dịch vụ View trong máy chủ View của bạn. Một trong những vấn đề quan trọng nữa là VMware View Security Gateway Component. Nếu nó dừng chạy trong thời gian ngắn thì đã có vấn đề với chứng nhận của bạn. Nguyên nhân phổ biến nhất là chứng nhận đó không cho phép xuất ra khóa riêng.

A fatal error occurred when attempting to access the SSL server credential private key. The error code returned from the cryptographic module is 0x8009030d. The internal error state is 10001.

13.   Bây giờ bạn có thể chạy màn hình View administrator và thay đổi URL hoặc với một tên máy chủ ngắn hoặc FQDN, bạn sẽ không nhìn thấy lỗi về chữ kí số nữa.

14.   Khi bạn đăng nhập, bạn có thể click vào icon Dashboard ở phía bên trái và xem lại chi tiết máy chủ về kết nối của nó. Chữ kí số của nó phải được xác thực

 

 

Phần 3: Cấu hình VMware Horizon View 5.2

 

1.       Tạo một account domain để View kết nối máy chủ sẽ sử dụng để kết nối với vCenter. Trong trình điều khiển domain tạo ra một account dịch vụ AD, và thiết lập một password. Trong môi trường của tôi, tôi đặt account đó có then là SVC-View01-001. Tên này không quan trọng

2.       Login vào vSphere Web Client và từ Home page click vào Administration.

Trong trang Administrator click vào Role Manager. Tạo một vai trò mới bằng cách click vào icon dấu cộng màu xanh. Và được gọi đến View Administator

3.       Thêm tất cả các đặc quyền cho các vai trò người quản trị View được chỉ ra trong bảng dưới

4.       Trong vSphere Web Client navigate, trỏ đến Home > vCenter > Hosts và Clusters, sau đó click vào tên của vCenter. Bây giờ click vào tab Manage và chọn tab Permission. Click vào icon dấu cộng màu xanh để thêm sự cho phép.

5.       Thêm account dịch vụ domain vào pane bên trái, và thay đổi vao trò của người quản trị View bên phải.

6.       Chạy View Administrator và mở rộng pane bên trái View Administrator. Click vào Product Licensing and Usage.  Nhập vào license key

7.       Dưới View Configuration click vào Servers. Click vào tab vCenter Servers, click Add. Nhập vào FQDL của vCenter, tên account và password. Xem lại các thiết lập kĩ thuật ở dưới .

8.       Vì chúng ta chưa cài đặt Composer nên lựa chọn Do not use View Composer

9.       Nếu bạn đang sử dụng vCenter 5.1 và ESXi 5.1 bạn sẽ được hỗ trợ một số thiết lập lưu trữ mới. bạn nên bỏ các lựa chọn mặc định, điều đó sẽ làm sản phẩm của bạn có kết quả tốt hơn. Nếu bạn đang sử dụng sản phẩm lưu trữ VDI của bên thứ 3 như Atlantis Computing ILIO thì tôi sẽ vô hiệu hóa các tính năng lưu trữ như họ không cung cấp nhiều lợi ích.

10.   Sau khi cấu hình thành công

 

 

Phần 4 : Cấu hình cho phép từ mạng Internet truy cập vào View Server 5.2.

 

Tôi đã từng nghĩ rằng các View client có thể kết nối nội bộ như mạng LAN mà không cần View Destops nhưng khi cố gắng sử dụng máy chủ bảo mật từ một nguồn bên ngoài kết nối vào có chế độ authenticat, với những destop có sẵn  và bắt đầu chạy nó thì có lỗi sảy ra “ The connect to the remote computer ended”.

Sau khi thử chạy firewall logs, netcat, wireshark không được, thì với sự hỗ trợ của Vmware có thể giúp tôi tìm ra nguyên nhân lỗi ở trong View Administrator. Đó không phải là một giải pháp khó khăn. Sau đây tôi sẽ chỉ ra cách thực hiện sửa lỗi này.

Trong View Administrator click vào Servers,  Connection Server, sau đó Edit

Cập nhật HTTP(S) Secure Tunnel External URL and the PCoIP Secure Gateway, PCoIP External URL. Kiểm tra tất cả các box.

Sửa lỗi trong trường hợp không kết nối vào Destop VM:

Đó là lỗi được hiện thị như sau:

Trong 99% của trường hợp này là do thiếu tường lửa giữa View Client ( thin client) và View Agent ( Virtual desktop). Để biết thêm chi tiết lỗi này và cách giải quyết xem thêm tại :

Tuy nhiên, nó chỉ ảnh hưởng đến Windows 8 trên các thử nghiệm của tôi với khách hàng. Sau quá trình tìm hiểu, tôi đã tìm ra được nguyên nhân gây ra từ thiết lậpSystem cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing Enabled” thiết lập này đã gây ra xung đột giữa các thiết lập kết nối máy chủ View 4.5 -> không kết nối được giữa View agent và View client.

 

Phần 5: Tạo máy ảo VM Destop Win 8 cho Horizon View 5.2.

 

1.       vCenter cung cấp một Windows 8 mới loại máy ảo x64 ( hoặc x86) sử dụng phần cứng version 9. Tôi lấy giới hạn nhỏ nhất là 3GB RAM và 30GB ổ C. Dẫn đến Windows 8 ISO và cài dặt bình thường.

2.       Cài đặt các công cụ của VMware, sau đó cấu hình các thành phần mạng, update Windows và join domain của bạn vào.

3.       Theo mặc đinh thì Windows 8 được thiết lập nguồn lớn, và VM sẽ ngừng hoạt động sau một thời gian làm việc. Tôi khuyên bạn nên dùng nguồn điện có hiệu suất cao. Cho phép truy cập máy tính từ xa tốt.

4.       Bạn nên download bộ cài đặt agent  trong phần download Horizon View 5.2. Copy các tác nhân thích hợp vào máy ảo và bắt đầu cài đặt.

5.       Nếu được yêu cầu khởi động lại máy ảo, bạn thực hiện lần lượt, chọn tất cả mặc định và chợ quà trình cài đặt hoàn thành.

 

Cấu hình Active Directory

1.       Tạo một OU mới cho các máy VDI của bạn. Chúng ta cần apply một GPO cho chúng, vì một OU mới sẽ dễ dàng hơn cho việc thực hiện. Tôi đặt OU mới là Windows 8 VDI.

2.       Tạo nhóm domain bảo mật. Tôi đặt nhóm của tôi là VDI_Windows 8 Standard. Thêm một vài người dùng thử nghiệm cho nhóm này.

3.       Chúng ta cần sửa đổi Remote Destop Users group để cho phép nhóm chúng ta vừa tạo có thể truy nhập vào.  Bạn có thể làm việc này bằng nhiều cách nhưng nên tạo một GPO mới rồi sau đó kết nối nó với VDI OU mà bạn đã tạo trước đó.

4.       Mở GPO và tìm đến Computer ConfigurationPoliciesWindows Settings Security SettingRestricted Groups.

5.       Click chuột phải vào Restricted Groups  và thêm nhóm Remote Destop User. Bây giờ thêm nhóm bạn đã tạo và thêm các user ở bước 2. Hãy chắc chắn thêm nhóm đó dưới Members of thí group ở nửa trên của cửa sổ giao diện.

6.       Boot lại Win 8 và chắc chắn rằng các chính sách đã được thiết lập vào máy

 

Tạo một Destop Pool

1.       Chạy Horizon View Administrator và lựa chọn Pools trong Inventory. Click Add Pood

2.        Cho một thử nghiệm nhỏ, chúng tôi sẽ chọn Manual Pool sử dụng Dedicated với automatic assignment.

3.       Chọn vCenter virtual machines.

4.       Nhìn vào danh sách máy chủ vCenter

5.       Trong màn hình Pool ID, bạn cần cấu hình ID, Display Name, Folder và những lựa chọn khác. ID có giới hạn một số kí tự kh được dùng  có báo lỗi khi thiết lập kh đúng.

6.       Các thiết lập pool phụ thuộc vào môi trường của bạn. Thay đổi một vài thiết lập được chỉ ra dưới đây.

7.       Xác định vị trí máy ảo Win8 mà bạn đã cung cấp và thêm chúng vào pool.

8.       Nếu kiến trúc của bạn đạt yêu cầu, chương trình sẽ cho phép bạn chọn gia tăng lưu trữ. Nếu bạn không sử dụng các ứng dụng lưu trữ của bên thứ 3 thì bạn kích hoạt tính năng này.

9.       Trong màn hình Ready to Complete hiện ra tất cả các lựa chọn của bạn. ở trên cùng của cửa sổ đánh dấu Entitle users after this wizard finishes.

10.   Boot lại máy ảo Win8 của bạn và đợi vài phút. Trong View administrator click Desktops và bạn nhìn lại các desktops. Đợi cho status Available, có thể quá trình này hơi chậm nên kiên nhẫn.

 

 

 

Phần 6: Cài VMware Horizon View Unity Touch làm gì?

 

VMware đã phát hành Horizon View Client 2.0 iOS trên Apple AppStore. Với client này dẫn đến một chức năng mới được gọi là Unity Touch. Unity Touch nhìn theo một mặt nào đó thì được VMware giới thiệu như Project AppShift của VMworld 2012. Unity Touch đưa ra cho người dùng một trải nghiệm tốt hơn khi truy cập vào máy ảo từ các thiết bị chạy iOS hoặc Android.

Yêu cầu đầu tiên cho môi trường VMware View 5.2 là VMware Horizon View 5.2 Feature Pack 2 được cài đặt trên máy chủ và máy ảo. Sau đó cập nhật phiên bản mới nhất iOS hoặc Android trên thiết bị của bạn.

Ở phía bên tay trái, bạn có thể nhìn thấy slide màu đen trỏ ra tab điều hướng bên ngoài:

Click vào một trình đơn bên tay trái, sẽ đưa ra cho bạn truy cập đến tất cả các chương trình được cài đặt trong desktop của bạn như là “My Files” của bạn.

 

Bây giờ bắt đầu với các ứng dụng Windows một cách dễ dàng. Bạn không cần click menu start hay bất kỳ một menu chương trình nào. Chỉ việc click vào ứng dụng trên Menu.

Menu “My Files” đưa ra cho bạn truy cập đến tất cả các file của bạn và trong máy ảo.

 

Bạn cũng có thể đăng kí các ứng dụng như là các ứng dụng riêng cho mình, mà bạn có thể nhìn thấy trên hình dưới. điều này giúp bạn dễ dàng truy cập vào các ứng dụng của mình trên Windows.

 

 

 

Phần 7: Các thiết bị di động, BYOD, SmartPhone sử dụng VMware Horizon View như thế nào?

Với việc phát hành của VMware Horizon View Feature Pack 1 cho VMware Horizon View 5.2 nó có thể giúp kết nối HTML5 tới máy View của bạn. Với sự hỗ trợ này không cần cài đặt thêm phần mềm nào. Phương thức HTML5 mới được gọi là Blast. Việc kết nối bằng cách sử dụng phương thức Blast HTML có lợi khi bạn đang hoạt động trên một thiết bị không được cài đặt VMware View client.

VMware Horizon View Feature Pack 1 bao gồm hai thành phần chính dưới đây:

+ Remote Experience Agent installer

+ HTML Access installer

Remote Experience Agent installer bao gồm:

          HTML Access Agent: cho phép người dùng kết nối đến Horizon View desktops bằng các sử dụng HTML Access.

          Unity Touch: giúp các máy tính bảng, điện thoại thông minh của người dùng có thể dễ dàng sử dụng, tìm kiếm và mở các ứng dụng và các file Windows, chọn các ứng dụng và các file  yêu thích và chuyển các ứng dụng đang chạy, tất cả đều không cần sử dụng Start menu hay Taskbar.

Các hệ điều hành cho phép cài View Desktop ( XP SP3, Windows Vista (32-bit), Windows 7 hoặc 8)

HTML Access installer: Việc cấu hình cài đặt ban đầu View Connection Server cho phép người sử dụng lựa chọn HTML Accsess để kết nối với desktops. Sau đó bạn chạy HTML Access installer, View portal trình ra một icon HTML Access trong icon View Client.

Thành phần này được cài đặt trong Blast Secure gateway như là View Connection Server ( không phải là Security Server)

Dưới đây là các thành phần và các cổng tường lửa yêu cầu được mở ra:

Một máy chủ bảo mật đơn có thể hỗ trợ lên tới 10 kết nối đồng thời tới Web client sử dụng phương thức Blast .

Trong kết nối của View administrator sử dụng phương thức Blast có thể được giám sát như sau:

Unity Touch được hỗ trợ trong Horizon View Clienr các phiên bản sau:

+ Horizon View Client for iOS 2.0 hoặc cũ hơn

+ Horizon View Client for Android 2.0 hoặc cũ hơn

Unity Touch được hỗ trợ cho các hệ điều hành trên thiết bị mobile sau:

+ iOS 5.0 và cũ hơn

+ Android 3

Các Website được hỗ trợ:

§  Chrome 22 or later

§  Internet Explorer 9 or later

§  Safari 5.1.7 or later

§  Firefox 16 or later

§  Mobile Safari on iOS devices running iOS 6 or later

Không hỗ trợ các phương thức mới như:

§  The same performance as PCoIP!

§  USB and multimedia redirection

§  ThinPrint support

 

Nhưng phương thức Blast HTML có thể có ích khi bạn đang sử dụng thiết bị không được cài đặt VMware View client.

View Portal lựa chọn giữa View Client hoặc HTML access Logon screen HTML access

About thangletoan

Hallo Aloha

Posted on 19/03/2014, in Ảo hoá, Ảo hoá VMware, Bảo mật, Blast Gateway, Horizon View, Horizon View 5.2, Unity Touch, vCenter, View Server, View server 5.2, virtual machine, Virtual Network, VMware, VMware ESXi, VMware ESXi 5, VMware ESXi host, VMware Horizon View, vSphere and tagged , , . Bookmark the permalink. Để lại bình luận.

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: