Продолжение адаптированного перевода экспресс-курса Vladan Seget для подготовки к экзамену VMware Horizon 6 (with View) под кодовым номером 2V0-651.

Экзаменационные темы


Неправильная настройка групп AD DS, организационных подразделений, учетных записей в vCenter может привести как к некорректной работе View, так и рискам, связанным с излишне назначенными привилегиями. В этом разделе будут рассмотрены следующие темы:

а) Требования к учетным записям, группам Active Directory и необходимым разрешениям
б) Требования к организационным подразделениям (OU) для компьютеров
в) Файлы шаблонов групповой политики (GPO)
г) Настройка доверительных отношений между доменами Active Directory
д) Настройка серверов DHCP для десктопов Horizon View



Требования к учетным записям, группам Active Directory и необходимым разрешениям


Для установки View поддерживаются домены Active Directory начиная с уровня 2003. Серверы Connection, Replica, должны быть членами домена. Security может находиться в рабочей группе, но ничто не мешает сделать его членом домена (например, изолированного домена DMZ). Установить сервер Connection на контроллер домена не получится, так как он использует AD LDS.

Группы пользователей

В работе вам потребуется использовать группы AD DS как для пользователей (viewusers), так и для администраторов (viewadmins). Хорошая практика — всегда использовать группы при назначении разрешений, избегая использования учетных записей напрямую.

Группы пользователей используются при назначении разрешений на пулы виртуальных машин. Для простоты поиска придумайте для них стандартный префикс. Создайте общую группу, включающую все пользовательские группы и включите ее в локальную группу «Remote Desktop Users » на десктопах View при помощи политики Restricted Groups.

Группа для администраторов понадобится при установке View Connection server. Желательно заранее создать ее для установки первого сервера Connection.


Учетные записи для Connection Server и Composer

pubs.vmware.com/horizon-62-view/index.jsp#com.vmware.horizon-view.installation.doc/GUID-997107E5-F66D-494C-B2BA-A74977C7804C.html#GUID-997107E5-F66D-494C-B2BA-A74977C7804C

В общем случае вам понадобятся две или три сервисные учетные записи.

Первая — с правами в vCenter. Эта учетная запись потребуется после установки сервера Connection, при добавлении сервера vCenter. Именно от ее имени в vCenter будут выполняться операции развертывания десктопов, включения и выключения виртуальных машин и т.д. Не стоит предоставлять этой учетной записи максимальные административные привилегии, достаточно будет следующего набора
image

Если вы не будете использовать linked-clone и, соответственно, Composer, то потребуются следующие разрешения



Если вы будете использовать Composer, то к необходимо добавить еще и следующие разрешения.


Осторожно! В View есть фича — View Storage Accelerator. В View 5.2 для ее работы требуется привилегия Act as vCenter Server.
В 6.0 — тоже, в 6.2 уже указана другая привилегия - Host > Configuration > Advanced settings. Истина где-то рядом.

Если Composer установлен на одной машине с vCenter, эту учетную запись необходимо добавить в группу локальных администраторов Windows (BUILTIN\Administrators) на сервере vCenter.

О военных хитростях
Во многих случаях продукт можно сконфигурировать не так, как предписывает документация. Зачастую можно попробовать схитрить. Делать этого без острой необходимости не стоит. Качество тестирования продуктов VMware такое, что ваша военная хитрость в итоге обернется против вас специфическим багом. Не стоит использовать учетные записи vsphere.local, локальные учетные записи, кроме проблем, вероятнее всего, вы ничего не получите.


Вторая учетная запись понадобится если Composer установлен отдельно от vCenter. Учетная запись используется для взаимодействия Connection и Composer. Ее необходимо включить в группу локальных администраторов Windows (BUILTIN\Administrators) на standalone сервере Composer.
image

Если вы проигнорируете это требование, то Connection Server не сможет подключиться к Composer.


Третья учетная запись нужна для работы с Active Directory. Ее использует Composer для утилиты QuickPrep.

image

Она же будет использоваться для настройки Customization Specification для Sysprep в vCenter.
image

Требования к организационным подразделениям (OU) для компьютеров


Для того, чтобы управлять настройками View через групповую политику и делегировать разрешения вам потребуется создать OU для десктопов. Для Linked-clone рекомендуется отдельное OU.

Если вы планируете использовать Kiosk Mode, VMware рекомендует отдельное OU для десктопов в этом режиме и выделенную группу AD DS для учетных записей. Рекомендуется и выделенный Connection server для Kiosk Mode.

На организационное подразделение, где будут создаваться учетные записи компьютеров потребуются следующие разрешения:
Стандартные разрешения (по умолчанию уже назначенные на OU):
  • List Contents
  • Read All Properties
  • Read Permissions

Дополнительные разрешения, достаточные для повторного использования предварительно созданных учетных записей:
  • Reset Password

Дополнительные разрешения, необходимые для создания учетных записей:
  • Create Computer Objects
  • Delete Computer Objects
  • Write All Properties
  • Reset Password


Файлы шаблонов групповой политики (GPO)


В прошлом файлы шаблоно располагались в каталоге installation_directory\VMware\VMware View\Server\Extras\GroupPolicyFiles. В View 6.2 они скачиваются в виде архива VMware-Horizon-View-Extras-Bundle.zip

Извлеченные файлы разумно расположить в центральное хранилище шаблонов групповой политики \\имя_домена\sysvol\имя_домена\Policies\PolicyDefinitions

Некоторые шаблоны содержат настройки как для раздела «компьютер», так и «пользователь». Следует помнить как применяются групповые политики и при необходимости не забывать включать Group Policy Loopback Processing.

The View Agent Configuration (vdm_agent.adm) — настройки агента View
The Horizon Client Configuration (vdm_client.adm) — настройки клиента View
The View Server Configuration (vdm_server.adm) — настройки сервера Connection, связанные с аутентификацией и междоменными доверительными отношениями
The View Common Configuration (vdm_common.adm) — настройки, которые могут применяться как к серверам Connction, так и агентам — безопасноть, производительность журналирование
The View PCoIP Session Variables (pcoip.adm) — настройки протокола PCoIP на агенте. Состоит из двух веток — настроек, переопределяемых администратором, и непереопределяемых. Переопределяемые можно «переписать» файлом pcoip_client_settings.txt
The View PCoIP Client Session Variables (pcoip.client.adm) — настройки протокола PCoIP на клиенте
The View Persona Management (ViewPM.adm) — Настройки Persona

Это беглое знакомство с настройками GPO, ключевые настройки будут разобраны в дальнейшем.
Не лишним будет ознакомиться с документацией.

Обязательно изучите две следующие техники управления групповыми политиками:
  • Security filtering using GPMC. Однажды вам обязательно понадобится создать GPO, действующий только на несколько компьютеров в OU.
  • Group Policy Loopback Processing. Обычно к польозователю применяются настройки раздела User тех GPO, которые привязаны к объекту «User». Эта настройка позволит применить вам к пользователю настройки раздела «User» из GPO привязанных к компьютеру, на которой он заходит.


Настройка доверительных отношений между доменами Active Directory


Документация по версии 6.0 гласит, в том случае если серверы View находятся в одном домене, а пользователи — в другом, нам потребуются двусторонние доверительные отношения. И не простые, а external non-transitive trust. На помощь придет утилита netdom с ключем trust. Это ограничение признано дефектом продукта.

В версии 6.2 таких ограничений нет, возможны односторонние доверительные отношения, а сами отношения могут быть транзитивными. Особенности администрирования View с односторонними доверительными отношениями изложены в статье Providing Secondary Credentials for Administrators Using the ?T Option

Кроме того, утилитой vdmadmin с опцией — N можно настроить список доменов, доступных пользователю.

Настройка серверов DHCP для десктопов Horizon View


Пожалуй, все что можно сказать о настройке DHCP, так это то, что для автоматизированного развертывания машин из образов вам потребуется настроить сервер DHCP. Ваш КО.

Возможно, вам встретится какие-то общие вопросы про ошибки с DHCP, почему не получается получать адрес, как настроить ip helper, не более того.

Стоит упомянуть, что если в десктопе несколько сетевых адаптеров, то для работы агента придется внести следующие настройки в реестр.
В разделе:
HKLM\Software\VMware, Inc.\VMware VDM\Node Manager\Subnet
создается ключ с именем Subnet типа REG_SZ и значением A.A.A.A/M, где A.A.A.A — адрес подсети, а M — маска. То есть если вы планируете получить на интерфейс с DHCP адрес 10.10.10.100, то значение ключа может быть 10.10.10.0/24.



Оригинал: www.vladan.fr/vcp6-dtm
Поделиться с друзьями
-->

Комментарии (3)


  1. zipo
    15.07.2016 17:37

    Есть тестовый движок для экзаменационных вопросов: http://loorex.com/ С его помощью можно треннироваться
    И сам файл с вопросами можно взять тут: http://onlinetestcentre.com/2V0-651.html


    1. omnimod
      16.07.2016 15:21
      -1

      Только сегодня сдавал VCP6-DTM. Посмотрел файл с вопросами по ссылке — это дампы. Вопросы один в один совпадают с теми, что были на экзаменах. Соответственно для тех, кто хочет готовиться честно, данный вариант не подходит.


    1. gotch
      18.07.2016 09:04

      Если внимательно прочитать весь материал, который планирую опубликовать, то эта тренировка, думаю, не понадобится.
      Кстати, если есть какие-то вопросы в которых не получилось разобраться — пишите в комментариях, попробуем разобрать.