понедельник, 26 апреля 2010 г.

Охота на MED-V'едя (часть I)

Не так давно я рассказывал о весьма полезном режиме работы VMware Workstation/Player - Unity.
Эта технология, как, например, и Seamless Mode в VirtualBox от SUN/Oracle позволяла обеспечить возможность 'прозрачной' работы с унаследованными приложениями для рядовых пользователей, компьютеры которых не поддерживали технологию аппаратной виртуализации (Intel VT-x/AMD-V). И лишь совсем недавно Microsoft выпустила обновление для Windows Virtual PC, позволяющее обойти это ограничение.

Что касается корпоративных пользователей, то для них Microsoft предлагает отдельное решение по виртуализации унаследованных ОС и приложений на рабочих станциях - Microsoft Enterprise Desktop Virtualization или по-простому - MED-V.

MED-V включает в себя ряд компонентов по централизованному созданию, доставке и управлению виртуальных рабочих столов в организациях. Отличительной особенностью MED-V от существующих VDI решений (VMware View, Citrix XenDesktop, Microsoft RDS и т.п.) является то, что виртуальные рабочие станции запускаются не на выделенном сервере, а непосредственно на рабочем компьютере пользователей. Отсюда проистекают основные достоинства решения, например: возможность работать в автономном режиме, без подключения к сети организации, монопольный доступ к ресурсам компьютера.

Однако, у MED-V есть и свои недостатки. Поскольку основное назначение MED-V - обеспечение совместимости с устаревшими приложениями, то и список гостевых ОС на текущий момент крайне ограничен: Windows 2000 Professional SP4 или Windows XP Professional SP2/SP3. Вдобавок, поскольку в качестве средства виртуализации на клиентских компьютерах используется Microsoft Virtual PC 2007 SP1, отсутствует возможность проброса USB устройств в гостевую ОС.

Еще одной особенностью является то, что MED-V не поставляется в виде отдельного продукта, а входит в состав MDOP (Microsoft Desktop Optimization Pack), пакета доступного для приобретения обладателям подписки Software Assurance, либо входящего в лицензию VDI Suite.

MED-V поддерживает различные методы доставки виртуальных машин и клиентов MED-V на пользовательские компьютеры. Внутри локальной сети компании доставка может осуществляться через существующие системы доставки ПО (ESD - Electronic Software Distribution), например, Microsoft SMS 2003/SCCM 2007, либо, что более вероятно, с помощью дистрибутивного Web сервера - одного из компонентов инфраструктуры MED-V.

Для филиалов или удаленных локаций удобнее использовать возможность консоли управления MED-V по созданию пакетов (набора файлов, которые могут в себя включать образ гостевой ОС, дистрибутив клиента MED-V и других компонентов) с последующим переносом пакета на конечный компьютер с помощью flash-накопителя или CD-диска.

Однако, в любом из перечисленных методов, вам потребуется разворачивать сервер MED-V, хранящий политики, образы виртуальных ОС и отчеты, а также использовать отдельный компьютер с клиентской ОС для установки на нее консоли управления MED-V.

Поскольку MED-V штука только на словах простая, я разделю рассказ о ней на две части. В первой я опишу процесс установки серверных и клиентских компонентов MED-V, во второй - процесс подготовки гостевой ОС для создания на ее основе образа для наших нужд.

Я буду использовать следующую инфраструктуру для развертывания MED-V:

  • Контроллер домена
  • Сервер MED-V
  • Дистрибутивный Web сервер
  • Клиент с консолью управления MED-V

Установка и настройка дистрибутивного Web сервера
Дистрибутивный Web сервер используется для хранения и распространения образов гостевых ОС и представляет из себя рядовой сервер с установленными компонентами IIS и BITS.

В качестве ОС я использовал Windows Server 2008 SP2

Для установки Дистрибутивного Web сервера запустите оснастку Server Manager. Выберите Roles -> Add Roles.

На странице Before You Begin нажмите Next.

На странице Server Roles выберите Web Server (IIS) и нажмите Next.

На странице Web Server (IIS) нажмите Next.

На странице Role Services выберите дополнительные компоненты IIS:
  • Basic Authentication
  • Windows Authentication
  • Client Certificate Mapping Authentication
На странице Confirmation нажмите Install.

После завершения установки нажмите Finish.

Запустите оснастку Server Manager. Выберите Features -> Add Feature.

На странице Features выберите BITS Server Extensions и нажмите Next. Следуйте инструкциям на экране. После завершения установки нажмите Finish.

Создайте на дистрибутивном сервере папку (в ней будут храниться образы гостевых ОС) и настройте к ней общий доступ в режиме чтения для группы Everyone и записи для администраторов MED-V.
Откройте консоль управления сервером IIS: Start -> Administrative Tools -> Internet Information Services (IIS) Manager.

Раскройте узел Sites, щелкните правой кнопкой мыши по Default Web Site и выберите Add Virtual Directory...

В поле Alias задайте имя, а в поле Physical path путь к созданной папке. Нажмите OK.
Выберите созданную папку, в области Features View откройте BITS Uploads.
Установите Allow clients to upload files и в области действия нажмите Apply.
Вновь выберите папку, в области Feature View откройте MIME Types.

С помощью кнопки Add... в области действий добавьте два новых типа:
  • .ckm (application/octet-stream)
  • .index (application/octet-stream)

  • При необходимости для усиления безопасности вы можете выдать сертификаты от доверенного Центра Сертификатов и назначить их текущему сайту на сервере IIS.

    Закройте консоль управления IIS и перезапустите службу из командной строки CMD:
    iisreset /noforce

    На этом настройка дистрибутивного web сервера завершена.

    Установка и настройка сервера MED-V
    Установка серверных компонентов MED-V достаточно проста, однако в зависимости от ваших требований к функционалу, вам дополнительно может потребоваться развернуть Центр Сертификации и/или SQL Server (в данном примере, я использовал Центр Сертификации на базе Windows Server 2008, установленный на контроллер домена и SQL Server 2008 Express Edition, установленный на сервер MED-V).

    Запустите установщик сервера MED-V (MED-V_Server_x86.msi или MED-V_Server_x64.msi) и следуйте инструкциям на экране.
    Примите лицензионное соглашение и при необходимости изменить путь, куда будет установлена программа. После завершения установки убедитесь, что выбран Launch MED-V Server Configuration Manager и нажмите Finish. Кроме того, вы можете запустить мастер из Start -> All Programs -> MED-V -> MED-V Server Configuration Manager.

    На вкладке Connections вы можете изменить стандартные порты для подключения к серверу, а также повысить безопасность, разрешив подключения к серверу MED-V по протоколу HTTPS.
    Для этого установите Enable encrypted connections (https), using port и при необходимости измените порт по-умолчанию (443). После выдачи сертификата вам потребуется его назначить через консоль CMD, используя команду:
    netsh http add sslcert ipport=<IP_АДРЕС:НОМЕР_ПОРТА> certhash=<ОТПЕЧАТОК СЕРТИФИКАТА> appid=<GUID_ПРИЛОЖЕНИЯ>
    , где <IP_АДРЕС:НОМЕР_ПОРТА> - соответственно, IP адрес сервера и номер порта, который используется для подключения (по-умолчанию, 443);
    <ОТПЕЧАТОК СЕРТИФИКАТА> - Thumbprint отпечаток, который можно посмотреть на вкладке Details в свойствах выданного сертификата (требуется указывать без пробелов);
    <GUID_ПРИЛОЖЕНИЯ> - GUID установленного приложения.
    GUID приложения проще всего посмотреть через regedit, открыв ветку HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{GUID_ПРИЛОЖЕНИЯ} и найдя нужный GUID по отображаемому имени (DisplayName).
    На вкладке Images укажите UNC путь к ранее созданной общей папке, где будут размещаться образы, а также ссылку на web папку дистрибутивного WEb сервера.
    На вкладке Permissions с помощью кнопки Remove удалите группу Everyone, а затем с помощью кнопки Add... добавьте группы Domain Admins и Domain Users. Напротив группы Domain Admins установите Changes Allowed. Пользователи у которых отсутствуют права на изменения настроек сервера (Changes Allowed) не смогут создавать, удалять и изменять политики, а также загружать упакованные образы гостевых ОС на сервер.
    Если вам требуется настроить отчеты MED-V и у вас установлен сервер SQL, то на вкладке Reports установите Enable reports, после чего создайте новую базу, нажав Create Database, и проверьте соединение, нажав Test Connection.
    Сохраните все изменения, нажав Apply. Перезапустите службу MED-V, нажав OK.

    Установка клиента и консоли управления
    Управление политиками и шаблонами гостевых ОС осуществляется через консоль управления MED-V Management, устанавливающуюся на клиентскую ОС (Windows XP, Windows Vista, Windows 7).

    Для установки клиента запустите установщик (MED-V.msi) и следуйте инструкциям на экране.

    На странице MED-V Settings выберите Install the MED-V management application а также укажите имя сервера MED-V (Server address) и порт для подключения. Если вы настроили подключение через HTTPS, выберите Server requires encrypted connections (https). При необходимости также измените путь к локальной папке для размещения образов гостевых ОС. Нажмите Next.
    После завершения установки нажмите Finish.

    Запустите консоль управления Start -> All Programs -> MED-V -> MED-V Management. Введите учетные данные пользователя для подключения.
    Поздравляю с успешной настройкой сервера MED-V.
    Продолжение настройки MED-V во второй части.

    Комментариев нет:

    Отправить комментарий