1、- 1 -桌面虚拟化实施文档- 2 -目录1. 项目简介 .- 4 -2. 需求与方案 .- 4 -3. View 桌面虚拟化组件介绍 .- 8 -4. 系统环境搭建 .- 11 -4.1 系统架构拓扑图 .- 11 -4.2 硬件机架图 .- 13 -4.3 硬件规划明细 .- 14 -4.4 实际连线拓扑 .- 14 -5. 实施步骤 .- 15 -5.1 vsphere 的安装 .- 15 -安装 ESXi5.0 .- 15 -安装 vCenter .- 21 -激活 license.- 26 -配置存储 .- 28 -自定义规范 .- 32 -5.2 AD 域以及 DHCP 安装配置
2、.- 38 -添加 AD 角色 .- 40 -配置 AD .- 44 -添加 DHCP 角色 .- 47 -导入管理 view 的组策略 .- 52 -5.3 配置 composer 与 event 数据库实例 .- 58 -安装 SQL server 管理工具 .- 59 -添加数据库实例 .- 61 -添加 ODBC 数据源 .- 65 -5.4 Composer 服务的安装配置 .- 68 -5.5 安装 view connector server .- 71 -5.6 安装配置用户配置管理 PM 存储库 .- 76 -安装 PM 虚拟机 .- 76 -编辑 PM 组策略 .- 79 -
3、5.7 桌面模板制定 .- 83 -安装虚拟机模板 .- 83 -安装 view agent .- 85 -5.8 配置使用 Thin app .- 88 -安装 tinapp packager .- 88 -准备共享文件夹 .- 91 -利用 thinapp 打包应用 .- 95 -5.9 配置 view connector server .- 103 -激活 license.- 104 -添加 vCenter .- 105 -创建完整虚拟机的自动桌面池(专用分配) .- 108 -创建链接克隆的自动桌面池(浮动分配) .- 115 -分配桌面池 .- 123 - 3 -分配桌面 .- 12
4、6 -配置 event 数据库 .- 127 -配置 thinapp 存储位置 .- 129 -编辑设置桌面池 .- 131 -分发 thinapp 应用 .- 136 -5.10 安装 vclient 并登陆桌面 .- 140 -安装客户端软件 .- 140 -登录 view 桌面 .- 145 -开机自动登录方法 1(开始菜单的启动项) .- 148 -开机自动登录方法 2(注册表) .- 149 -开机自动登录方法 3(组策略) .- 151 -5.11 安装 security server .- 155 -5.12 系统的优化 .- 166 -6. View 的快速使用以及其他配置 .
5、- 167 -6.1 view connector server 常用维护 .- 167 -6.2 修改完整虚拟机自动桌面池的模板 .- 173 -6.3 修改链接克隆自动桌面池的模板 .- 180 -6.4 重置链接克隆自动桌面池 .- 184 -6.5 刷新链接克隆自动桌面池 .- 187 -6.6 更新连接桌面用户的信息为用户名 .- 188 -6.7 升级用户使用桌面的权限 .- 189 -通过 AD 中修改组策略实现 .- 189 -通过在本地计算机中修改账户实现 .- 194 -6.8 更新 DHCP 中废弃的 IP 条目 .- 199 -6.9 解决本域内网站服务访问出错的问题
6、.- 201 -6.10 计划内关机建议步骤 .- 203 -6.11 隐藏虚拟桌面上的工具框 .- 203 -6.12 追溯登陆桌面的物理机信息 .- 206 -6.13 清理 pm 共享目录里的用户配置管理数据 .- 210 -6.14 移除链接克隆池的虚拟机 .- 213 -6.15 移除完整虚拟机克隆池的虚拟机 .- 214 -7. 常见问题 .- 219 -7.1 桌面登陆故障 .- 219 -7.2 Agent Unreachable 故障 .- 220 -7.3 桌面状态显示 Configure error .- 222 -7.4 View 服务器的 domain 服务错误 .-
7、 222 -7.5 虚拟机 DHCP 获取不到地址 .- 223 -7.6 Event 事件数据库失去连接 .- 224 -8. 验收培训 .- 225 - 4 -1. 项目简介XXX 用户所现有的办公方式是基于传统 PC 方式,需要在每台 PC 上安装所需的软件程序(办公软件如 word 等,聊天软件如 QQ 等)及客户端,同时重要的数据也分散在各 PC 上,不能很方便的进行集中存储及备份。在现有的方式下,客户端安全隐患增加,由于 PC 机的安全漏洞较多,因此业务数据在客户端有泄露及丢失的危险,并且用户的业务工作环境也有受攻击和被破坏的危险。而工作人员的工作环境被绑定在 PC 机上,出现软硬
8、件故障的时候,工作人员只能被动地等待 IT 维护人员来修复,因此维护响应能力的不足,直接导致了响应能力的降低,带来工作效率低下。2. 需求与方案1、需求描述:对用户区别对待的桌面分配方式。要求保证领导所用的桌面虚拟机的性能,包括 CPU、内存不与其他用户发生争抢,领导具有所分配虚拟机的最高权限,可以自己安装软件,使用外插USB 设备等,且保留每次产生的用户数据。普通用户使用的桌面也要保证能看到上次的数据,以及所作的设置等。普通用户不允许自己安装应用程序,不具有系统管理员权限,不能使用 USB 设备等。解决方法:在集群中划分两个资源池。领导使用的资源池采用完整虚拟机自动池的专用分配方式。每次领导
9、用户使用的桌面虚拟机是与用户的身份绑定的。在该虚拟机上添加领导用户的权限为管理员权限,领导可以自己安装应用。该桌面池内的虚拟机在 vsphere 中采用 CPU 以及内存的资源预留机制,在可能的使用高峰期内计算资源不会与别的用户发生争抢。设置该池的 USB 接入为允许。普通用户数量众多,所以需要建立链接克隆自动池并采用浮动分配的方式。每个用户每次使用的虚拟机实际上应该是不一样的,但是由于采用用户配置管- 5 -理的功能,用户每次体验的桌面看起来是一样的桌面,并包含上次产生的用户数据。普通用户不具有自己安装应用的权限,并不能使用 USB 接入,设置该池的 USB 接入为禁止。2、需求描述:灵活的
10、应用部署方式。解决方法:应用的部署方式有三种1)传统的应用安装领导使用的桌面具有自己安装应用的权限,可以独立下载并安装应用而且下次登陆后应用依然存在。2)通过模板的部署普通用户使用的链接克隆自动池具有 composer 功能模块提供的通过模板部署应用的功能。在下班时间可以通过在 vCenter 中重做父虚拟机的镜像模板,再在 view 管理中选择重置某个虚拟机 或整个桌面池 来进行模板的更新及新应用的部署。3)Thinapp 应用部署在 ESX 上部署一台用户使用的桌面虚拟机一样干净的操作系统,并安装Thinapp4.6 程序并使用该程序对新安装的应用进行打包。之后将打包后的程序拷贝到网络共享
11、位置就可以在 view 界面中将该应用发布给某个桌面或者某个桌面池了。可以在网络共享位置上建立多个文件夹分别存放不同类型的 APP 程序。例如: 领导需要的应用该文件夹(folder1)的权限设置为领导的用户组具有读写权限,领导可以通过 view 分发来获取该文件中的应用。普通用户在该文件服务器上也能看到该文件夹(folder1 ) ,但是没有权限查看。 分发给其他用户的应用该文件夹(folder2)的权限设置为 everyone,所有人都可以通过 view 分发来获取该文件中的应用,甚至可以通过“文件服务器主机名 folder2”直接读取其中内容。3、需求描述:审计以及安全方面的要求需要对用
12、户的上网行为以及机器的登陆使用进行审计,并配合公司网络中- 6 -已有的审计功能一起使用。需要保证通过 internet 访问桌面的安全加密。解决方法:配置 view 的 event 事件数据库View 的事件数据库经过配置后可以在 view 管理界面中记录所有用户的登陆注销的时间以及当时使用的桌面。那么普通用户所在资源池中的桌面是浮动分配且每次生成都重新 DHCP 获取 IP,如果已有环境中的审计功能模块是通过 IP地址区分数据包的,这将给原来的审计行为带来复杂度。用户与 view 桌面之间的连接通过 SSL 协议加密 。如果环境允许还可以部署view 中的 security server
13、提高数据传输的安全性。Security server 与外部网络以及内网 view connector server 之间都有的独立的防火墙,通过这两个防火墙严格的端口控制,可以大大提高对外部访问的安全性。对于用户身份的验证,可以提供的方式有普通的用户名密码登陆和动态密码(RSA) ,动态密码需要专门的硬件,提供更多一层的安全认证。此外,对于用户登陆桌面的 PC 物理机的信息,也可以在每次登陆时 通过脚本读取注册表再发送到指定的网络位置进行记录。4、需求描述:子网网络设计以及对原来网络的影响解决方法:部署单独的 AD/DHCP 以及 DNS 服务。View 的桌面环境作为一个子网接入公司内部网
14、络,子网中包含自己的DHCP、DNS 以及 AD 服务。公司网络对 view 子网提供一个网关地址,view 子网的机器都使用该网关地址。由于是一个单独的子网,内部的 AD、DNS 以及DHCP 对于外部网络服务不会产生影响。除了提供一个网关地址给 view 子网外,还需要在内部网络中的 DNS 上添加view connector server 的域名与 IP 对应的 DNS 条目,或者在终端用户使用的电脑上的 hosts 文件中修改增加该条目。5、存储的规划解决方法:本次实施包含两个桌面池,存储的数据类型包括两个桌面池的父虚拟机,完整虚拟机克隆桌面池的用户使用的桌面虚拟机,链接克隆桌面池的副
15、本虚拟机以及根据此副本的链接克隆,Thinapp 应用程序分发用的和用户配置管理persona management 用来存放用户配置数据的虚拟机,最后还包括功能服务器- 7 -的虚拟机。功能服务器包括 vCenter、view manager、AD,这些是存在功能节点的本地存储上的。其他在光纤存储阵列上如下分配:对所有物理磁盘划分两个 raid,可以留下一块盘作为 hotspare 热备盘。领导用的虚拟机以及两个池子的父虚拟机以及 Thinapp 与 persona management 需要的文件共享服务器在第一个 raid 上,其他都在另一个 raid 上。这样将文件共享服务器和链接克隆
16、这两个读写频繁的部分物理隔离开。一共 16 块盘,每块盘 1T 容量。具体规划如下: 1)7 块盘做 RAID5 专用于 persona management 需要的文件服务器,大概 6T 的空间,直接映射给文件服务器的虚拟机。如果今后需要扩展可以使用更大的硬盘并迁移数据。Thinapp 文件共享服务器也可以使用同一台虚拟机实现。2) 8 块盘做另一个 raid5,大概 6-7T 的实际容量,剩下一块做全局热备盘。划分两个 LUN,一个 2T,另一个大概 4-5T。这部分一是存放链接克隆的副本虚拟机以及每个虚拟桌面的链接克隆,还有就是领导的虚拟机和几个父虚拟机。领导使用的虚拟机 20 个,每个
17、给20G,加上父虚拟机一共也是 400G-500G,实际上采用精简配置的话暂用空间会更少,100G 左右,采用 2T 的 LUN 也足够了。剩下的 4-5T 的 LUN 用来存放链接克隆的副本虚拟机以及每个虚拟桌面的链接克隆,考虑到今后的扩展,这个容量也是够用了。6、需求描述:AD 域的创建现有环境中的域控是基于 LDAP 协议的 ITDS6.1 版本的域控制器,view 需要基于 Windows 的 AD 域控制器。解决方法:目前的方案还是将 view 环境中的 AD 域作为一个单独的域来使用,问题主要在于如何将 3000 个用户的条目在 AD 中导入或新建。域中用户的条目可以在view 环
18、境都部署好之后再导入。首先使用 IBM 的 ITDS 的工具导出用户的信息到 excel 表格里,另存为该文件为 csv 格式,在 windows 的 AD 域中使用 dsadd 执行导入操作。由于 AD 中默- 8 -认最大查询数量是 2000 个,需要再修改筛选器设置中的默认显示条目。3. View 桌面虚拟化组件介绍最终用户启动 View Client 登录 View Connection Server。该服务器与 Windows Active Directory 集成,通过它可以访问 VMware vSphere 环境、刀片或物理 PC 或 Windows 终端服务服务器中托管的虚拟桌
19、面。下图显示了 VMware View 部署中各主要组件之间的关系。Vmware view 环境高级示例View Connection Server该软件服务充当客户端连接的 Broker。View Connection Server 通过 - 9 -Windows Active Directory 对用户进行身份验证,并将请求定向到相应的虚拟机、物理或刀片 PC 或 Windows 终端服务服务器。View Connection Server 提供了以下管理功能: 用户身份验证 授权用户访问特定的桌面和池 将通过 VMware ThinApp 打包的应用程序分配给特定桌面和池 管理本地和远程
20、桌面会话 在用户和桌面之间建立安全连接 支持单点登录 设置和应用策略客户端设备使用 VMware View 的一大优势在于,最终用户可以在任何地点使用任何设备访问桌面。用户可以通过公司的笔记本电脑、家用 PC、瘦客户端设备、Mac 或 Tablet 访问其个性化虚拟桌面。在 Tablet、Mac 和 Windows 笔记本电脑及 PC 中,最终用户只需打开 View Client 就能显示 View 桌面。瘦客户端设备使用 View 瘦客户端软件,您可以对其进行配置,使 View 瘦客户端成为用户在设备上唯一能直接启动的应用程序。将传统 PC 作为瘦客户端桌面使用,可以使硬件的使用寿命延长三到
21、五年。例如,通过在瘦客户端桌面中使用 VMware View,您可以在旧版桌面硬件上使用 Windows 7 等新型操作系统。View Client用于访问 View 桌面的客户端软件可以在 Tablet、 Windows 或 Mac PC 或笔记本电脑、瘦客户端等平台上运行。成功登录后,用户需要在其有权使用的虚拟桌面列表中进行选择。身份验证需要使用 Active Directory 凭据、UPN 、智能卡 PIN 或 RSA SecurID 令牌。管理员可以将 View Client 配置为允许最终用户选择显示协议。协议包括 PCoIP 和 Microsoft RDP。 PCoIP 协议的速
22、度和显示质量可与物理 PC 媲美。View Portal要使用 View Portal,使用 Windows、Mac PC 或笔记本电脑的最终用户需- 10 -要打开 Web 浏览器,并输入一个 View Connection Server 实例的 URL 地址。View Portal 提供了一个链接,可用于下载适用于 Windows 或 Mac 的 View Client 完整版安装程序。View Agent您可以在所有用作 View 桌面源的虚拟机、物理系统和终端服务服务器上安装 View Agent 服务。在虚拟机上,此代理通过与 View Client 进行通信来提供连接监视、虚拟打印
23、、View 用户配置管理和访问本地连接的 USB 设备等功能。如果桌面源本身是一个虚拟机,您首先应当在该虚拟机上安装 View Agent 服务,然后再将其作为模板或链接克隆的父虚拟机使用。从该虚拟机创建池时,该代理将自动安装到每个虚拟桌面上。您可以在安装代理时选择单点登录选项,用户只会在连接 View Connection Server 时收到登录提示,下一次连接虚拟桌面时便不会收到提示。View Administrator这款基于 Web 的应用程序能帮助管理员配置 View Connection Server、部署并管理 View 桌面、控制用户身份验证并排除最终用户遇到的问题。View
24、 Administrator 应用程序会随 View Connection Server 实例一起安装。借助该应用程序,管理员无需在他们的本地计算机上安装应用程序,即可从任何地方管理 View Connection Server 实例。View Composer您需要将该软件服务安装在管理虚拟机的 vCenter Server 实例上。然后,View Composer 将可以从指定的父虚拟机创建链接克隆池。这种方法可节约多达 90% 的存储成本。每个链接克隆都像一个独立的桌面,带有唯一的主机名和 IP 地址,但不同的是,链接克隆与父虚拟机共享一个基础映像,因此存储需求明显减少。由于链接克隆桌面池共享一个基础映像,因此您可以通过仅更新父虚拟机来快速部署更新和修补程序。最终用户的设置、数据和应用程序均不会受到影响。从 View 4.5 开始,您可以将链接克隆技术用于下载的 View 桌面,并将其检出在本地系统上使用。vCenter Server