17.04.2014
by Piotr Pisz
0 comments
Workspace składa się z kilku wirtualnych maszyn, synchronizacja czasu pomiędzy nimi jest kluczowa. W momencie gdy czas zaczyna się rozjeżdżać pomiędzy maszynami, to zgodnie z tym co jest napisane w tym KB, dochodzi do sytuacji w której żądania autoryzacji SAML są odrzucane. Efektem jest poniższy błąd:
09.04.2014
by Piotr Pisz
0 comments
Skoro mamy już w naszym labie zagnieżdżone serwery ESXi, to czas najwyższy zainstalować vCenter. Zainstalowanie “dużego” vCenter nie jest trudne, jednak w labie prościej i szybciej jest zainstalować vCenter Server Appliance (vCSA). Trudno jest nawet mówić o instalowaniu, po prostu wgrywamy gotową maszynę i już. Jest to tak proste, że nie będzie to tematem tego wpisu (tak samo jak wstępna konfiguracja). Jest jednak jeden temat, który sprawia w środowisku vSphere ogromne problemy, są to certyfikaty SSL. Całe środowisko jest o nie oparte i nie ma absolutnie żadnego sensu aby używać vSphere z domyślnymi, samo podpisanymi certyfikatami. Na szczęście, jak już czasem pisałem, są w Internecie ludzie, dzięki którym życie jest łatwiejsze. Jedną z tych osób jest Derek Seaman który stworzył skrypt, będący rozszerzeniem funkcjonalności jaką daje VMware SSL Automation Tool. Dzięki temu skryptowi, wygenerowanie i instalacja certyfikatów SSL w vCenter, trwa dosłownie kilka minut (szczególnie jeśli mamy włączone OCSP w Microsoft CA). Jednak jak łatwo się domyśleć, skrypt napisany w PowerShell w pełni automatyzuje podmianę certyfikatów tylko w vCenter, zainstalowanym w systemie Windows Server. To samo dotyczy VMware SSL Automation Tool, jak na razie nie ma wersji wspierającej vCSA. Ręczna podmiana certyfikatów to droga przez mękę. Czy jest jakieś rozwiązanie?
01.04.2014
by Piotr Pisz
0 comments
Aktualizacja: Procedura zmodyfikowana pod Horizon Workspace 1.8
Jedną z bardzo fajnych funkcji Horizon Workspace, jest możliwość osadzania na nim aplikacji typu “web”. Generalnie są to zagnieżdżone przekierowania do zewnętrznych portali, wykorzystujące możliwość połączenia autentykacji poprzez wykorzystanie mechanizmu SAML/SSO. SAML (Security Assertion Markup Language) jest protokołem transportowym pośredniczącym w uwierzytelnianiu użytkowników (i przekazywaniu informacji o uprawnieniach użytkowników pomiędzy systemami). Czyli bardziej ludzkim językiem, użytkownik loguje się jedynie do Horizon Workspace (w domenie AD gdzie na stacji jest zainstalowany klient, odbywa się to automatycznie), następnie “klika” w aplikację “vCloud” i zostaje przeniesiony i automatycznie zalogowany do swojej Organizacji (z właściwymi uprawnieniami). Benefit z wykorzystania SSO jest znany, to zawsze mniejsza liczba okienek login/hasło do pokonania. Benefit drugi, to wystawienie na świat pojedynczego portalu (np. dla pracowników zdalnych lub tych z BYOD wewnętrznie) ze zbiorem właściwie przygotowanych “przekierowań” (no i całej reszty ThinApp’uff).
Przygotowanie takiego WebApp jest bardzo proste, w pierwszym kroku pobieramy plik XML zawierający odpowiednie Identity Provider metadata. Po zalogowaniu się do Horizon Workspace jako administrator, wszystkie potrzebne linki znajdują się w sekcji Settings –> SAML Certificate (lub bezpośredni adres https://horizon_server/SAAS/API/1.0/GET/metadata/idp.xml):
31.03.2014
by Piotr Pisz
0 comments
Produkty firmy VMware możemy podzielić równo na dwie kategorie, te dopracowane (takie jak vSphere), i te, które hmm, stwarzają problemy (z szacunku dla kilku pracowników tej firmy których znam, nie będę wymieniał tych produktów). Nawet jednak te dopracowane, takie jak Horizon View, mają czasem tak dziwne braki, że ręce opadają. W przypadku View, mamy do czynienia z dwoma poważnymi ograniczeniami, jedno to brak możliwości migrowania puli maszyn pomiędzy różnymi serwerami vCenter i drugie, brak możliwości dodawania maszyn do manualnej puli. O ile pierwsze jestem w stanie jakoś zrozumieć, o tyle drugie już nie. Tworząc manualną pulę, wybieramy maszyny które dodajemy, możemy je potem z tej puli usuwać, ale już dodać nowych, absolutnie nie. Czy dodanie małego plusika w GUI to aż takie wyzwanie?
Na szczęście mamy Internet, a w nim paru rozgarniętych ludzi. Procedura migracji wirtualnej stacji roboczej pomiędzy różnymi vCenter wygląda następująco (Horizon View może być podpięty do obydwu vCenter lub mogą to być dwie różne instalacje Horizon View):
Pulę źródłową, jeśli jest to pula automatyczna, przełączamy w tryb “Disable Provisioning”. Maszynę wirtualną przełączamy w tryb “maintenance” i usuwamy z Horizon View Managera:
20.03.2014
by Piotr Pisz
0 comments
Jedną z nowości w Horizon View 5.3 jest możliwość użycia systemu Windows Server 2008R2 jako stacji roboczej. To udogodnienie powstało głównie ze względów licencyjnych, sposób licencjonowania Windows 7 i innych systemów typu desktop w środowiskach wirtualnych, nie jest optymalny z kosztowego punktu widzenia (przy wdrażaniu View). Dlatego też należy pamiętać, że jedyną licencją jaką możemy zastosować w takiej konfiguracji, jest niezmiennie Datacenter. W dokumentacji jest co prawda napisane, że inne licencje nie były testowane (czyli mogą działać), ale użycie licencji typu standard na masową skalę jest nie opłacalne całkowicie. Aktualnie Windows Server 2012R2 nie jest oficjalnie wspierany, ale że jest licencjonowany na tej samej zasadzie, należy się spodziewać, że niedługo i taka konfiguracja będzie dostępna.
Przygotowanie do działanie takiej konfiguracji jest dość proste, na początku musimy odpowiednio skonfigurować nasz Horizon View Connection Server. Uruchamiamy narzędzie ADSI Editor (Menu start –> Administrative Tools –> ADSI Edit). Następnie podłączamy się pod lokalną instancję serwera ADAM:
