Использование VMware Horizon для подключения к удаленным компьютерам без VPN

Продолжающаяся пандемия COVID-19 вынудила многие предприятия и организации в спешке внедрять решения для удаленной работы, часто без надлежащего планирования и подготовки. Компании испробовали различные решения, позволяющие своим сотрудникам безопасно работать из дома, а не в переполненных офисах. Марк Ван Ной занимался этой ситуацией в Колорадском университете в Боулдере, штат Колорадо, где он занимается управлением инфраструктурой виртуальных рабочих столов. Они внедрили VMware Horizon, который безопасно предоставляет виртуальные рабочие столы и приложения в гибридном облаке. Марк описывает ниже, как они используют эту платформу для обеспечения удаленного доступа к физическим компьютерам. Читатели, которые уже используют VMware в своей среде, могут найти объяснение Марка полезным для обеспечения безопасной удаленной работы для своих пользователей.

Какую проблему мы пытаемся решить?

С увеличением количества работы из дома увеличилось количество сотрудников, которые получают удаленный доступ к своему рабочему столу. Самый очевидный способ сделать это в системах Windows — предоставить IP-адрес или DNS-имя компьютера конечному пользователю, а затем заставить его использовать протокол удаленного рабочего стола (RDP) после подключения через VPN компании. Использование RDP, безусловно, работает, но подключение к VPN усложняет работу конечного пользователя, а RDP — не лучший протокол для соединений с высокой задержкой. Для компаний, у которых уже есть среда VMware Horizon View для предоставления VDI, есть альтернатива.

Что делает взгляд на горизонт для решения проблемы?

Инфраструктура Horizon View обеспечивает гибкость, эффективность и простоту использования для клиентов. Используя существующую инфраструктуру, продукт Horizon позволяет физическим компьютерам функционировать как полноценные виртуальные машины VDI. Например, пул физических компьютеров можно создать без назначенных пользователей. Когда конечные пользователи входят в систему, они автоматически назначаются доступному компьютеру в пуле. При обычном подключении к удаленному рабочему столу нет удобного способа определить, вошел ли кто-то в компьютер. Соединение должно быть установлено конечным пользователем с самим названным компьютером. Точно так же пулы компьютеров могут быть созданы с использованием физических компьютеров, которые назначают пользователей конкретным компьютерам, чтобы протокол Blast на основе H.264 можно было использовать для отображения рабочего стола с устойчивостью к задержкам. Использование VMware Horizon также устраняет риск того, что RDP-подключение нарушит уже подключенный сеанс, когда новый пользователь попытается подключиться к физическому компьютеру.

Что делает VMware Horizon View для решения проблемы?

Инфраструктура Horizon View обеспечивает гибкость, эффективность и простоту использования для клиентов. Используя существующую инфраструктуру, продукт Horizon позволяет физическим компьютерам функционировать как полноценные виртуальные машины VDI. Например, пул физических компьютеров можно создать без назначенных пользователей. Когда конечные пользователи входят в систему, они автоматически назначаются доступному компьютеру в пуле. При обычном подключении к удаленному рабочему столу нет удобного способа узнать, вошел ли кто-то в компьютер. Соединение должно быть установлено конечным пользователем с самим названным компьютером. Точно так же пулы компьютеров могут быть созданы с использованием физических компьютеров, которые назначают пользователей конкретным компьютерам, чтобы протокол Blast на основе H.264 можно было использовать для отображения рабочего стола с устойчивостью к задержкам. Использование VMware Horizon также устраняет риск того, что RDP-подключение нарушит уже подключенный сеанс, когда новый пользователь попытается подключиться к физическому компьютеру.

Что нужно для начала?

Прежде всего, необходима существующая инфраструктура VMware Horizon View, поскольку вряд ли стоит затрачивать усилия на создание новых серверов просто для лучшего способа подключения к физическим компьютерам. Также крайне желательно иметь по крайней мере один шлюз пользовательского доступа, UAG, чтобы устранить необходимость в активном VPN-соединении.

Подробная информация о том, как настроить серверы подключения VMware и устройства UAG, выходит за рамки этой статьи. Возможности встроенной инфраструктуры VDI будут применяться к физическим пулам. Таким образом, если HTML-доступ к VDI полностью настроен, то конечные пользователи могут получить доступ к физическим компьютерам с помощью веб-браузера, например, без необходимости устанавливать какое-либо клиентское программное обеспечение.

Как внедрить VMware Horizon

Начните с создания нового набора групповых политик, чтобы ограничить количество одновременных подключений к любому отдельному компьютеру и разрешить подключение соответствующих пользователей. Агент VMware Horizon использует некоторые параметры RDS, чтобы определить, как он должен себя вести. Например, агент предполагает, что Windows разрешает несколько подключений к удаленному рабочему столу, что приводит к тому, что несерверные варианты Windows отключают вошедших в систему пользователей, когда другой пользователь пытается подключиться по умолчанию. Установка максимального количества разрешенных подключений на 1 предотвратит удаление сеансов. Точно так же агент Horizon полагается на группу пользователей удаленного рабочего стола, чтобы определить, кому разрешен вход в систему, поэтому соответствующие пользователи должны быть добавлены в локальную группу пользователей удаленного рабочего стола. Предпочтения групповой политики можно использовать, а не старую групповую политику для большей детализации, а не использовать параметры объекта групповой политики, указанные ниже.

Затем фактический агент необходимо развернуть на физических компьютерах, которыми необходимо управлять. Лучший способ развернуть агент — использовать параметры установки командной строки, даже если агент устанавливается вручную. Интерактивный установщик не предоставляет возможность установить для свойства VDM_VC_MANAGED_AGENT значение false, что является обязательным параметром для использования агента на физических компьютерах. Обратите внимание, что в командной строке нет пробела между двойными кавычками после v и косой чертой перед qn. Если между этими элементами будет пробел, установка завершится ошибкой.

VMware-Horizon-Agent-x86_64-7.12.0-15805436.exe /s /v”/qn VDM_VC_MANAGED_AGENT=0 VDM_SERVER_NAME=<брокер/сервер подключения> VDM_SERVER_USERNAME=<имя пользователя> VDM_SERVER_PASSWORD=<пароль>”

Имя пользователя и пароль должны быть служебной учетной записью с соответствующими разрешениями для присоединения компьютеров к используемому домену. Существуют также дополнительные параметры, которые можно указать в качестве свойств в командной строке. (VMware предоставляет список доступных вариантов.)

После установки агента последним шагом будет создание пулов с помощью Horizon Management Console. Поскольку VMware не может напрямую управлять физическими пулами компьютеров, возможности значительно ограничены по сравнению с настройкой традиционного пула на основе виртуальных машин. Это на самом деле делает настройку пула довольно простой. При создании нового пула выберите параметр Ручной пул рабочих столов. Затем выберите параметры «Другие источники», когда будет предложено указать источник компьютеров. Назначение пользователя может быть либо плавающим, либо выделенным, причем плавающее лучше всего подходит для учебных лабораторий. Если желательна функция доступа через веб-браузер, то протокол удаленного отображения должен быть установлен на VMware Blast. В противном случае также можно использовать PCoIP или RDP. Для седьмого шага создания пула в пул необходимо добавить хотя бы один компьютер. Вот почему было важно установить агент на нужные компьютеры перед созданием пулов. Horizon будет отображать только те компьютеры для добавления в пул, которые зарегистрировались на серверах соединений через установленный агент.

Поскольку VMware Tools нельзя установить на физические компьютеры, некоторые функции отсутствуют. В частности, если на физическом компьютере присутствует несколько сетевых адаптеров или программное обеспечение для виртуализации, такое как Hyper-V, создало несколько виртуальных сетевых адаптеров, агент Horizon может запутаться в том, через какой сетевой адаптер он должен обмениваться данными. Это может привести к тому, что компьютеры будут отображаться в Проблемных компьютерах как Агент недоступен. Если компьютеру необходимо иметь несколько сетевых адаптеров и доступ через Horizon, VMware предоставила документацию о том, как указать, какой сетевой интерфейс следует использовать. Документация была написана для указания соответствующего интерфейса с учетом виртуальных машин.

VMware Horizon: подходит вам?

Стоит ли использовать VMware Horizon для доступа к физическим компьютерам? Если у вас уже есть Horizon в вашей среде, то, возможно. Физический компьютер будет израсходовать одновременную пользовательскую лицензию так же, как при подключении к виртуальной машине, поэтому отсутствие лицензий может сделать этот вариант плохим выбором. В противном случае возможность подключения только через веб-браузер или клиент Horizon, не беспокоясь о VPN-подключениях или запоминании IP-адресов, безусловно, является лучшим опытом для конечного пользователя. В настоящее время мы используем Horizon для предоставления доступа к нашим физическим лабораторным компьютерам, и в этом случае это было настоящим благом, поскольку нашим студентам не нужно знать ничего, кроме того, что они хотят подключиться к определенному имени пула.