Vor geraumer Zeit habe ich einen Beitrag über das Verbinden von Client-Laufwerkenveröffentlicht. RDP unterstützt die Weiterleitung der lokalen Laufwerke eines Client und diese werden dann als Netzwerklaufwerke auf dem virtuellen Desktop angezeigt. Dies kann direkt am Client oder über eine Active Directory Policy konfiguriert werden. Dadurch kann der Administrator steuern, ob ein Benutzer Zugriff hat, oder eben nicht. Doch was, wenn der Benutzer bestimmte lokale Laufwerke des virtuellen Desktop, wie zum Beispiel die OS Disk bei Verwendung der Linked Clone Technologie des View Composer nicht sehen soll?

Eine virtuelle Maschine die Mitglied in einem automatisierten, persistenten Desktop-Pool ist besitzt zwei lokale, virtuelle Festplatten. Das Laufwerk C:\ wird OS Disk gennant, die Festplatte D:\ User Data Disk. Weitere Informationen dazu können den folgenden Whitepaper entnommen werden.

• View Composer data sheet
• View Composer Whitepaper

Die OS Disk enthält alle Daten, die den Linked Clone vom Master Image unterscheiden. Es ist also eine Delta Disk. Alle Daten, die auf dieser Festplatte gespeichert werden, gehen bei einem Refresh oder Recompose (Weitere Informationen hierzu im Admin Guide oder in den o.g. Whitepaper) unwiederuflich verloren. Wenn ein Benutzer nun versehentlich Daten auf dieser Festplatte ablegt, würden diese gelöscht werden. Jemand hat mir genau dazu in der letzten Woche die Frage gestellt: "Wie kann ich die OS Disk vor dem Benutzer verstecken?" Gute Frage! Ich erinnerte mich an die Zeiten, in denen ich Administrator für eine Terminal Server Farm war. Dort stand ich vor der gleichen Problematik, denn die Benutzer konnten aufgrund des Load Balancing immer wieder auf einem anderen Terminal Server angemeldet werden und so stand die Datei nicht mehr zur Verfügung. Der Ansatz beim virtuellen Desktop ist der gleiche wie beim Terminal Server. Über einen bestimmten Registry Eintrag können die Laufwerke ausgeblendet werden:

1. Registry Editor starten und zum folgenden Key navigieren: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
2. Auf der rechten Fensterseite einen neuen DWORD Eintrag mit der Bezeichnung "NoDrives" erstellen.
3. Unter diesem Link können die richtigen Werte für die verschiedenen Laufwerke ausgerechnet werden: http://www.precedence.co.uk/support/tools/nodrive/
4. Den errechneten Wert als Dezimal Wert im DWORD "NoDrives" eintragen
5. VM neu starten.

Mit diesem Registry Eintrag kann sehr einfach die OS Disk ausgeblendet werden und der Benutzer hat so nicht mehr die Möglichkeiten Daten dort abzuspeichern. Eleganter ist natürlich die Nutzug einer ADM Vorlage, um so einen zentralen Verwaltungsansatz zu haben.

Seit VMware View 3.0 ist der View Composer, eine Komponente die es möglich macht Speicherplatz auf dem Storage zu sparen, ein fester Bestandteil des View Premier Bundles und des View Premier Add-On. Durch Verwendung der Linked Clone Technologie ist es möglich den Speicherverbrauch um 50-90% zu senken. Mehr Informationen zum View Composer stehen auf der View Webseite zur Verfügung. Dort werden unter anderem auch die Funktionen Refresh, Recompose und Storage Rebalancing ausführlich beschrieben, die in diesem Artikel angesprochen werden.

• View Composer Datenblatt
• View Composer Whitepaper

Die Linked Clone Technonlogie arbeitet nach einem Prinzip, wobei viele virtuelle Maschinen, die sogenannten Linked Clones auf einem Master- oder Basisimage basieren. Die Clone selbst nutzen die Daten (Betriebssystem und Anwendungen) im Masterimage und speichern in Ihre eigene virtuelle Festplatte nur die Änderungen ab, also das Delta. Im Gegensatz zum traditionellen VDI, wo für jede virtuelle Maschine ein eigener virtueller Datenträger genutzt wird, enstehen beim View Composer Ansatz hohe Einsparungen im Storagebereich. Die folgende Grafik aus dem VMware Datenblatt veranschaulicht das Konstrukt auf eine einfache Weise:



Dieser Beitrag beschäftigt sich nun viel mehr mit dem Post Syncronization Script, einer Option der Quickprep Funktion des View Composer. Quickprep selbst wird genutzt, um virtuelle Maschinen mit einem Hostnamen, einer Domänen SID und weiteren Personalisierungsparameter zu versehen. Das Post Syncronization Script kann jedesmal nach der Erstellung eines Linked Clone, einem Refresh, Recompose oder Storage Rebalance ausgeführt werden. Beschreibung dieser Funktionen im View Composer Whitepaper.

Wozu nutzt man das Post Syncronization Script?

Eventuell gibt es nach der Erstellung einer neuen virtuellen Maschine Aufgaben, die noch ausgeführt werden müssen, bevor der Benutzer mit dieser arbeiten kann bzw. soll. Beispielsweise könnten über das Script weitere Personalisierungen gestartet bzw. Bereinigungen durchgeführt werden. Das folgende Beispiel beschreibt eine solche Situation:

Der Administrator hat eine VMware View Umgebung mit dem View Composer konfiguriert, worüber dann Desktop Pools unter Verwendung der Linked Clone Technologie und einer damit verbundenen Speichereinsparung erstellt werden. Auf den Desktops ist eine spezielle Software des Unternehmens installiert, die pro Arbeitsplatz mit einer eindeutigen ID konfiguriert werden muss, die wiederum in der Registry des Windows Betriebssystems gespeichert ist. Da die Software im Masterimage installiert ist und der View Composer eine Klontechnologie nutzt, ist jeder Arbeitsplatz bzw. die Unternehmenssoftware noch mit der gleichen ID versehen. Diese wird nun durch das Post Syncronization Script geändert. Der Administrator hat eine Batchdatei erstellt, die ein VBS Script aufruft, über welches der Registry Eintrag angepasst wird.

Wie wird es konfiguriert
Wenn ein Pool unter Verwendung der Linked Clone Technologie erstellt wird (Automatischer Pool) dann erscheint auf der letzten Seite des Konfigurations-Wizard (Edit Desktop) der Quickprep Dialog. Hier kann unter Post Syncronization Script eine Batchdatei angegeben werden.

Das Batch-Skript selbst wird im Masterimage abgelegt. Die richtige Syntax lautet hier: Laufwerk + Lokation + Skriptname.bat. z.B. könnte man den folgenden Pfad wählen: C:\Scripts\test.bat, oder wie im nächsten Screenshot einfach C:\postsync.bat.

Um diese Funktion ganz einfach zu testen könnte man in das Script folgende Zeile einfügen:

echo postsync > C:\postsync.txt

Damit würde das Script bei jeder Ausführung das Wort "postsync" in die Datei C:\postsync.txt schreiben.

Zurück zum o.g. Beispiel mit der der Unternehmessoftware, müsste über das Script postsync.bat ein VBS Script gestartet werden, welches dann den besagten Registry Parameter ändert. Die VBS Scripte könnten sich dann auch im gleichen Ordner befinden uns müssen mit CSCRIPT gestartet werden.

Die Benutzer in einer VMware View Umgebung greifen über das Microsoft Remote Desktop Protokoll auf die virtuellen Desktops im Rechenzentrum zu. Damit dies auch funktioniert, muss der Benutzer, welcher auf den Desktop zugreifen möchte, die passende Berechtigung dafür haben. Standardmäßig dürfen nur Administratoren über die Ferne auf ein Windows Desktop Betriebssystem zugreifen. Nun kann man diese Konfiguration einzeln, an jedem virtuellen Desktop durchführen, oder man stellt es einmal zentral im Active Directory ein. Dies ist der elegantere Weg, weil man nur wenig Administrationsaufwand hat.

Zunächst muss man sich überlegen, wer Zugriff auf die virtuellen Arbeitsplätze haben soll. Dazu empfiehlt sich erst einmal eine Benutzergruppe im Active Directory zu hinterlegen. In diesem Beispiel heisst die Benutzergruppe vditestusers und ist Mitglied in der Domäne TEST. Diese Gruppe soll im nächsten Schritt ein Mitglied der lokalen Benutzergruppe Remote Desktop Users auf den virtuellen Desktops werden, die wiederum die Erlaubnis für den Zugriff über RDP hat. Dazu hinterlegt man die Gruppe in einer Gruppenrichtlinie als Restricted Group.

Danach konfiguriert man sie als Mitglied der lokalen Benutzergruppe Remote Desktop Users womit die Gruppe die Berechtigung für den Remote Zugriff erhält.

Im letzten Schritt muss nun noch der Terminal Zugriff auf dem Desktop generell eingeschaltet werden. Auch dazu gibt es eine spezielle Optionin den administrativen Vorlagen für Windows Komponenten in den Gruppenrichtlinien.

Weitere Informationen zu diesem Thema:

VMware XP Deployment Guide (Seite 4): http://www.vmware.com/files/pdf/XP_guide_vdi.pdf

Restricted Groups: --blocked::http://technet.microsoft.com/en-us/library/cc785631.aspx--

Centrally enable Remote Desktop using Group Policy: --blocked::http://technet.microsoft.com/en-us/library/cc776790.aspx--

In VMware View können über eine standard RDP Funktion lokale Clientlaufwerke in die virtuelle Sitzung durchgereicht werden. Dabei werden die Laufwerke auf dem virtuellen Gast als Netzwerklaufwerke, z.B. C auf Client erkannt. Ohne Einschränkungen im Active Directory (Gruppenrichtlinie) werden so alle Laufwerke auf dem Client verbunden.



Im Screenshot ist der Arbeitsplatz des virtuellen Desktops zu sehen, auf dem drei lokale Laufwerke (A,C,D) verbunden worden sind. So hat der Benutzer Zugriff auf Dateien des lokalen Computer. Dies ist aber nicht immer gewünscht und so kann man dem unter Verwendung von Gruppenrichtlinien einen Riegel vorschieben. Dazu hat man zwei Optionen:

1. Verwendung der mit View gelieferten Client Policy
2. Verwendung der Active Directory Policy, die auf den virtuellen Desktop angewendet wird

Zwischen den beiden Möglichkeiten gibt es aber ein paar wichtige Unterschiede.

_View Policy ( VDM_Client.adm)_

Die VDM_Client.adm Datei ist eine Vorlage zur Integration ins Active Directory. Diese Datei wird im Gruppenrichtlinien Editor geladen und kann dann darüber zentral verwaltet werden. Der name der datei beschreibt auch schon, wo diese angewendet wird, nämlich auf dem Client, also dem Gerät, welches sich mit dem virtuellen Desktop verbinden möchte. Diese Policy wird benutzerbasierend, und nicht maschinenbasierend angewendet.

Was bedeutet das?

Es bedeutet, dass diese Richtlinie zunächst einmal auf dem Client läuft, also dieser auch im Active Directory integriert sein muß, was bei Clients, die sich über das Internet anmelden sollen nicht so ist. Zweitens muss die Richtlinie im Active Directory auf z.B. die Benutzer OU gelegt werden und nicht auf die OU des Client Computers. Dies ist eine häufige Fehlerquelle und sollte bei Problemen als erstes kontrolliert werden.

(Die RDP Einstellungen sind beim View Client Benutzerbezogen und werden auf dem Client angewendet)

Integrierte Active Directory Policy

Im Active Directory ist schon ohne Notwendigkeit einer ADM Datei eine Richtlinie vorhanden, die das Verbinden von Laufwerken des Client Computers zentral unterbinden kann. Diese Richtlinie wird im Gegensatz zur ViewClient Policy auf den maschinenbasierten Teil und nicht auf den Benutzer! Auch wird die Richtlinie nicht auf den Client, also das verbindende Gerät, sondern direkt auf den virtuellen Desktop angewendet. Damit muss der Client Computer kein Mitglied der Domäne sein.

Wenn die Richtlinie dann auf die OU angewendet wurde, in der sich der virtuelle Desktop befindet, so werden die Laufwerke nicht mehr verbunden.

Bei der Verwendung der ADM Dateien für den Client kommt es oft zu Fehlern, die meisstens auf falsche Anwendung der Richtlinie zurückzuführen sind. Oft wird versucht die Client Richtlinie auf virtuelle Desktops, also die Agents anzuwenden und das funktioniert nicht. Auch wird häufig davon ausgegangen, dass es eine maschinenbasierende Richtlinie ist, dass stimmt aber nicht.

Seit dem 29.01.2009 steht der VMware View Manager in Version 3.0.1 zum Download bereit. Folgende Änderungen sind in die neue Version eingeflossen:

1.) Implementierung des ThinPrint Virtual Channel Gateway Modul, damit View Umgebungen auch mit einem ThinPrint Server kommunizieren können.

2.) Der Windows View Client leitet nun den Namen des Client Geräts an den virtuellen Gast weiter. Der Name wird beim initialen Anmelden auf dem Gastsystem in die Umgebungsvariable ViewClient_Machine_Name geschrieben. Diese wird auch beim Trennen und Wiederverbinden der RDP Verbindung aktualisiert. Zusätzlich können beim Anmelden und beim Wiederverbinden Scripts ausgeführt werden.

Die Informationen dazu werden in der Registry unter folgenden Schlüsseln abgelegt:

HKLM\Software\Policies\VMware, Inc.\VMware VDM\Agent\Configuration\CommandsToRunOnConnect and
HKLM\Software\Policies\VMware, Inc.\VMware VDM\Agent\Configuration\CommandsToRunOnReconnect

Die Daten können manuell geändert, oder über eine GPO (Group Policy Object) im Active Directory gesteuert werden. Dazu liefert die neue Version von View auch direkt eine aktualisierte ADM Richtlinien-Vorlage: vdm_agent.adm

Die Befehle werden als Name=Value Paare hinterlegt, wobei Value der auszuführende Befehl ist.

Befehl1= CMD /C c:\script1.vbs
Befehl2= CMD /C c:\script2.vbs

Die Funktion der Umgebungsvariable %CLIENTNAME% wurde nicht geändert.

Die Variable kann unter HKCU\Volatile Environment\ViewClient_Machine_Name

Neben den Erweiterungen von View enthält das Update auch Fehlerbehebungen, welche hier aufgeführt werden.

Die Release Notes enthalten weitere, detailierte Informationen zu diesem Update.

Mit VMware View 3.0 was im Dezember 2008 released wurde kam auch der View Composer, der in einer virtuellen Desktop Infrastruktur hilft die Storagekosten zu reduzieren. In View werden Desktop Pools, die automatisiert auf einer Virtual Infrastructure generiert und ausgeführt werden, als Automated Pool bezeichnet. Die Desktops in diesem Pools können entweder als Full Clone, oder mit dem View Composer als Linked Clone bereitgestellt werden. Bei Verwendung des View Composers und der Linked Clone Technologie erhält der Administrator die Möglichkeit, nach der Erstellung des Desktops Scripte auszuführen um noch bestimmte Unternehmensbezogene Augaben (Tasks) anzustossen, den Desktop in eine Active Directory Domäne aufzunehmen oder den Desktop direkt in eine bestimmste Organisations Einheit (OU) im Active Directory zu verschieben.

Im folgenden Beispiel möchte ich nun erklären, wie man eine OU Struktur in der Poolkonfiguration angeben muss. Gehen wir davon aus, dass der Desktop nicht direkt unterhalb des Roots der Domäne liegt, sondern in einer OU die sich XP nennt. Die OU mit dem Namen XP wiederum ist eine Unter-OU der OU mit dem Namen VIEW.

Im Active Directory würde das Ganze dann so aussehen:

Die OU XP ist der OU VIEW untergeordnet und dies wird im Strukturbaum auch so dargestellt. Dementsprechend versuchen viele auch die OUs genau so im View Manager einzutragen (OU=VIEW,OU=XP), laufen dabei aber in eine Fehlermeldung. Der richtige Weg die OUs anzugeben ist wie folgt:

OU=XP, OU=VIEW

Der erste Eintrag in der Liste der OUs muss der letzte OU Container sein, in dem sich der Desktop wirklich befindet, gefolgt von den Parent OU Einträgen. Der Domänenname (DC=vmware, oder Ähnliches) ist nicht notwendig.

Sie denken über die Verwendung von Sun Ray Servern und Clients mit VMware View nach um so vom Sun ALP Protokoll zu profitieren? Dann sollten Sie sich auf jeden Fall die folgenden Blog Einträge anschauen:

How to setup VMware View and Sun Ray Server Software 4.1 for a POC
http://blogs.sun.com/acworkma/entry/how_to_setup_vmware_view

How to setup SRVDM and VMware View SSL
http://blogs.sun.com/acworkma/entry/how_to_setup_srvdm_and

Troubleshooting Sun Ray Connector for VMware VDM
http://blogs.sun.com/sjf/entry/troubleshooting_sun_ray_connector_for