Поделиться через

Windows XP и VDI на базе 2012 R2

  • Статья

Введение

VDI – первый шаг к оптимизации и повышению эффективности использования имеющегося оборудования любого клиента (опускаем, конечно, тех, которые уже “сидят” на новых ОС). Основные моменты при любом внедрении VDI :

  •  текущие ОС на клиентах (об этом и будет статья) 
  •  требования к шаблону виртуальной машины 
  •  перечень оборудования, которое должно быть доступно в рамках сессии VDI (чуть затрону в конце статьи)
  •  требования безопасности для виртуальных рабочих столов 
  •  иные требования 

Можно сказать с уверенностью, что первый пункт многие могут забыть на процессе согласования и потом судорожно докладывать о несовместимости той или иной опции с текущими клиентами VDI (клиент VDI – машина, с которой происходит подключение к connection broker). Windows XP – раздражитель для всех внедрений. Многие могут не согласиться. Достаточно лишь посмотреть на календарный год и сопоставить то, что имеем сейчас и то, что было тогда. От лирики перейдем к делу.
Для корректной работы Windows XP в качестве клиента необходимо наличие, как минимум, Service Pack 3. Если нет, то обязательно качаем и устанавливаем. Именно Service Pack 3 является минимальным требованием для обновления клиента RDP с версии 6.1 до 7.0 и поддержки необходимых компонентов, в том числе Credential Security Service Provider (CredSSP) (KB969084) .  о которых чуть ниже.  

RDP 7.0

Вносит существенные изменения, напрямую относящиеся к принципам работы в среде VDI (для локализации – посмотрите ru-ru версию KB) :

Web Single Sign-On (SSO) and Web forms-based authentication Remote Desktop (RD) Web Access now uses forms-based authentication to improve the user experience. Web SSO makes sure that after a user is logged on, no additional passwords are required for RD Gateway, RD Session Host servers and RemoteApp programs. For security, Web SSO requires remote applications to be signed using a certificate from a trusted issuer.

Access to personal virtual desktops by using RD Connection Broker Users can access personal virtual desktops when they use the new Remote Desktop Virtualization Host in Windows Server 2008 R2. Personal desktops are assigned to users on a one-to-one basis and maintain state over time.

Access to virtual desktop pools by using RD Connection Broker Users can access virtual desktop pools when they use the new Remote Desktop Virtualization Host in Windows Server 2008 R2. Pooled desktops are shared between multiple users, and all changes a user makes are typically rolled back when the user logs off.

И далее по списку.

NLA

По умолчанию, в Windows XP SP3 выключена возможность аутентификации по сети (NLA). На новых ОС NLA требуется по умолчанию в целях обеспечения безопасности:

   https://rlevchenko.files.wordpress.com/2014/09/xp_vdi_nla_thumb.jpg
 
NLA так же является преимущественным методом обеспечения аутентификации и в среде VDI. Поэтому рекомендуется “допиливать” именно клиентскую сторону, а не изменять рекомендуемые параметры на сервере. В Windows XP SP3 процесс включения CredSSP-провайдера , а вместе с ним и NLA , описан в статье http://support.microsoft.com/kb/951608 , либо просто внесите изменения в реестр:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\
00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\
6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\
00,73,00,70,00,6b,00,67,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"
 
  

Без обновления ситуация будет вот такой:

    https://rlevchenko.files.wordpress.com/2014/09/xp_vdi_error_thumb.jpg

Текст ошибки может быть и таким: «The connection has been terminated because an unexpected server authentication certificate was received from the remote computer» (Подключение было разорвано, поскольку был получен непредусмотренный сертификат проверки подлинности сервера от удаленного компьютера).

Дополнительно

Сертификаты

На этапе развертывания ролей VDI необходимо создание сертификатов для основных ролей (gateway, connection broker, web access). Сертификаты могут быть self-signed или выданные внутренним /public ЦС (wildcard или sn). Текущую настройку сертификатов можно запросить, используя powershell:

PS C:\Users\adm.domain.com> Get-RDCertificate
 
RoleRDRedirector    Trusted     08/21/2015 18:08:55 CN=srv-rdcb-01.domain.com
RDPublishing        Trusted     08/21/2015 18:06:46 CN=srv-rdcb-01.domain.com
RDWebAccess         Trusted     08/21/2015 18:06:46 CN=srv-rdwa-01.domain.com

Клиентская сторона должна доверять этим сертификатам (ЦС , выдавшему их) и , -поэтому необходимо добавление сертификатов в Trusted Root Authority. Для автоматизации импорта необходимых сертификатов (как минимум, для RD Web Access и  root CA) необходимо наличие установленного Windows Server 2003 Administration Tools Pack, в состав которого входит утилита certutil http://www.microsoft.com/en-us/download/details.aspx?id=3725 . 

Однако, Windows XP может некорректно работать с выданными сертификатами и требуется установка исправления:

On a Windows Server 2003-based or Windows XP-based computer, you cannot obtain certificates from a Windows Server 2008-based certification authority (CA). This issue occurs if the CA is configured to use SHA2 256 encryption or higher encryption (SHA2 384 or SHA2 512).
http://support.microsoft.com/kb/968730/en-us

Single Sign On

Проблемы так же возникают и с Single Sign On:
….when you try to log on to the terminal server by using the farm name of the terminal server, you are prompted for user credentials. However, you expect that you can log on to the terminal server directly after SSO is enabled http://support.microsoft.com/kb/953760/en-us

Перенаправление устройств

Родного редиректа USB-устройств в Windows XP нет и никогда не будет.
Перенаправление USB (без и с RemoteFX) начинается с версии RDP 7.1  и далее.
Перенаправить com-порт Windows XP сможет (к примеру, сканер штрих-кодов usb-to-com, используемые в среде 1С).
Перенаправление локальных дисков – да
Общая рекомендация: аппаратные средства для USB-over-IP (к примеру, digi)

   Пример скрипта для установки необходимых обновлений на Windows XP

rem [установка обновлений и сертификатов , размещенных в общей папкe]
rem **************************************************************
rem [single sign on update]
start /wait "update" "\\share\WindowsXP-KB953760-x86-RUS.exe" /quiet /norestart
start /wait "update" "\\share\WindowsXP-KB953760-v2-x86-RUS.exe" /quiet /norestart
rem **************************************************************
rem [certificate updates]
start /wait "update" "\\share\WindowsXP-KB968730-x86-RUS.exe" /quiet /norestart
rem ***************************************************************
rem [rdp 7.0]
start /wait "update" "\\share\WindowsXP-KB969084-x86-rus.exe" /quiet /norestart
rem ***************************************************************
rem [credSSL ON]
start /wait "update" "\\share\MicrosoftFixit50588.msi" /quiet /norestart
rem ***************************************************************
rem [adm tools. нужно для возможности исп-я certutil]
start /wait "update" "\\share\WindowsServer2003-KB304718-AdministrationToolsPack.exe" /Q
rem ***************************************************************
rem [пример установки сертификатов]
cmd /c certutil -addstore CA "\\share\cert.cer"
cmd /c certutil -addstore root "\\share\cert.cer"

Ссылки:

Пример подготовки виртуальной машины с приложениями 1С для VDI 
Quick VDI Deployment
Hyper-V и USB в гостевой системе

http://c.statcounter.com/10008096/0/0fb4d1bf/1/