2017年10月31日火曜日

仮想デスクトップ黒ブチ画面問題

みなさん、こんにちは。

Horizonで仮想デスクトップに接続した際、以下のように黒ブチ画面が表示されたことはありませんでしょうか?


本現象は、解像度の高い環境(Horizon Client)から仮想デスクトップに接続した場合に見られ、仮想デスクトップ側のビデオメモリが足りないために画面を描画しきれないために発生していることが主な原因と考えられます。

仮想デスクトップ側のビデオメモリを調節すればおおよそ解消するのですが、どのくらいの値に調節すればよいのか、どこで設定すればよいのかがわからない、という方もいらっしゃるかもしれませんので、今回はこの黒ブチ画面問題に対する対処法について紹介したいと思います。

ご興味のある方は続きをどうぞ。

2017年3月24日金曜日

Horizon 7 新機能 (非認証アクセス編)

お久しぶりです。

実に1年振りの投稿となりますが、、すみません。この1年間色々ありました。
もっとも大きな出来事は子供が生まれました。かわいくて仕方がありません。(笑

と、個人的な事はおいておき。。

Horizonのバージョン7.1がリリースされました!(祝

1年前に投稿した内容がバージョン7.0のリリースということで、Horizonの新バージョンリリースと共に投稿を復活したいと思います!

まずはリリースノートをチェックしましょう。

Release Note for VMware Horizon 7 version 7.1
https://pubs.vmware.com/Release_Notes/jp/horizon-7-view/horizon-71-view-release-notes.html

リリースノートをざっと見た感じの新機能は以下の通りです。
1. VMware Blast Extreme
2. URL Content Redirection Enhancements
3. Horizon for Linux 7.1 Desktops Enhancements
4. Smart Card Authentication
5. Published Desktops and Applications
6. Instant Clones
7. Virtual Desktops
8. Cloud Pod Architecture Enhancements
9. ADM and ADMX Template Files
10. IPv6 Environment
11. Horizon PowerCLI
12. Operating Systems for Instant-Clone Remote Desktops
13. vSphere Platform
14. Access Point
15. Horizon Client Information Plug-In
16. Information Experience

注目はやはりトップに記載されているBlastプロトコルに関する内容でしょうか。

Blast Extreme Adaptive Transport(通称BEAT)と呼ばれるこの機能は、ネットワーク環境に応じて速度や帯域などを自動で調整し、パケットロスを低減する機能のようです。PCoIPには従来似たような機能がありましたがBlastにも反映されたような感じですね。

他にも、LinuxVDIのUSBリダイレクト、RDSHファームやvGPUを有効にしたVDIでのInstantCloneサポート、vSphere6.5による仮想マシン暗号化のサポート(フルクローンのみ)など、多くの新機能や機能強化が行われています。

そんな中、私が最も注目したのは「非認証アクセス」です。(笑

リリースノートには以下のような感じで控えめに記されています。
You can configure unauthenticated access for users to access published applications from a Horizon Client without requiring Active Directory credentials.

非認証アクセス
Horizon ClientからConnection Serverにログインする際、通常であればユーザー名とパスワード、ドメインの選択が必要ですが、これらを不要にする認証方式です。
※公開アプリケーションのみ対応。


なぜこの機能に注目したかと言いますと、セキュリティ対策の一環でインターネットにアクセスできる環境を分離している場合など、ドメインが異なる環境を跨いでシングルサインオンを実現するためには、原則ドメイン間の信頼関係締結が必要です。インターネット分離のようにセキュリティセグメントの異なるドメイン間の信頼関係締結はあまりうれしくないので、非認証アクセスがあれば、これを不要にしつつ、シングルサインオンが出来るのでは?と思ったからです。

そんな期待を持ちつつ、さっそく試してみましたので設定方法などをご紹介します。

例によって(?)長文となりますので、ご興味のある方は続きをどうぞ。

2016年3月29日火曜日

Horizon 7 新機能 (URL コンテンツリダイレクション編)

皆さん、待望の「Horizon 7」がリリースされました!!

Release Notes for VMware Horizon 7 version 7.0
https://pubs.vmware.com/Release_Notes/en/horizon-7-view/horizon-70-view-release-notes.html

新機能が目白押しなメジャーバージョンアップとなりました。
1. Instant Clones
2. Cloud Pod Architecture Improvements
3. Smart Policies
4. VMware Blast Extreme
5. True SSO
6. Access Point 2.5 Integration
7. URL Content Redirection for Windows Horizon Clients
8. Flash Redirection for Windows Horizon Clients (Tech Preview)
9. Windows Server 2016 Support (Tech Preview)
10. Horizon 7 for Linux Desktops
11. Additional Features

どれもご紹介したい新機能ばかりなのですが、、私が最も注目している新機能は「7. URL Content Redirection for Windows Horizon Clients」です。

これはHorizon Clientがインストールされた物理環境のブラウザと、Horizon Agentがインストールされた仮想環境のブラウザ間で環境の差異を意識することなく、URL情報をやり取り出来る優れものです。イメージ図で簡単にご説明すると、以下の2通りの動きがあります。

1. 物理⇒仮想
物理環境のブラウザで特定のURLにアクセスすると、仮想環境のブラウザでそのURLを開く。


2. 仮想⇒物理
仮想環境のブラウザで特定のURLにアクセスすると、物理環境のブラウザでそのURLを開く。



何がうれしいかと言うと、昨今巷で大流行しているインターネット分離環境において利用者が環境の差異を意識することなく(大事なことなので2回)、社内イントラはクローズドな物理環境のブラウザで開く、危険な(とは言い切れませんが)インターネットのサイトは分離された仮想環境のブラウザで開くということを自動で制御してくれるのです。

この機能なしに環境を跨いでURL情報を連携したい場合、URLを一字一句逃さず書き写すという苦行を強いられることになります。
物理⇔仮想間でクリップボード連携を有効化しておけば、コピー&ペーストが可能ですが、情報漏えい対策という観点からもオススメは出来ません。

ということで、今回は「URL Content Redirection」についてご紹介したいと思います。

システム要件から順を追ってご紹介しますので、ご興味のある方は続きをどうぞ。

2016年2月9日火曜日

Horizon for Linuxでシングルサインオン

昨年に引き続き、今年もvExpert2016を受賞させて頂きました。


http://blogs.vmware.com/vmtn/2016/02/vexpert-2016-award-announcement.html

# 本ブログをご覧頂きました皆様へ #
この場をお借りしましてお礼申し上げます。また、少しでも皆さんのHorizonライフにお役立て出来ているようであれば尚幸いです。今後ともどうぞよろしくお願い致します。

さて、今回の投稿はこれまで推しに推してきたRDSHではなく、Horizon for Linuxです。(笑

Horizon 6.2.1より、Linuxの仮想デスクトップでもシングルサインオンがサポートされたことをご存知でしょうか? # 逆にサポートされていなかったことを知らない方が多いかもしれませんが。。

Horizon 6.2.1のリリースノートはこちら(今日現在の最新バージョンは6.2.2です。)
https://pubs.vmware.com/Release_Notes/jp/horizon-6-view/horizon-621-view-release-notes.html

シングルサインオンはWindowsの仮想デスクトップでは当たり前ですし、ドメイン参加するくらいで特段何も設定しなくても実現可能ですが、Linuxとなるとそう簡単にはいきません。。

まず、現在シングルサインオンがサポートされるディストリビューションは以下となります。
RHEL 6.6 Workstation x64
CentOS 6.6 x64

次にActive Directoryと統合するための方法としては、以下がサポートされているようです。
OpenLDAPパススルー認証
Winbind

以下、公式ドキュメントへのリンクですが、詳細な手順については触れられておらず、統合方法についても「動作することが分かっています。」という表現に留まっています。
さあ、皆さんの力の見せ所です。(笑

Linux と Active Directory の統合
http://pubs.vmware.com/horizon-62-view/index.jsp#com.vmware.horizon-view.linuxdesktops.doc/GUID-D8E3A4AA-83E9-46A4-8BBA-824027146E93.html

ただ、Winbindを使って統合する場合、Linuxデスクトップをクローンから複数台展開する場合にドメイン参加に失敗するようで、OpenLDAPによる統合が推奨されるとのことです。。

統合方法についても「お任せ」ということなので、、今回は「SSSD」を使ってみました。

検証した結果としては・・・
問題なくシングルサインオンでLinux仮想デスクトップにログイン出来ました!

せっかくですので、細かい設定方法などをご紹介したいと思います。
例によって長文となりますので、、ご興味のある方は続きをどうぞ。

2016年1月22日金曜日

RDSHにおける負荷分散方式について

2016年最初の、また、記念すべき(?)50投稿目のネタは、絶賛オススメ中の「RDSH」です。

今回は、Horizon 6.2で強化された「負荷分散」機能について色々と試してみたところ、意外にハマりましたので、、紹介したいと思います。

RDSHにおける負荷分散方式は、以下の2つの方式から選択可能です。

1. 接続数が少ないホストにセッションを割り振る
2. 負荷の小さいホストにセッションを割り振る New!!

「1」は元々あったデフォルトの分散方式で、「2」がHorizon 6.2で追加された分散方式です。

ユーザー数が多い環境などでRDSHを複数台構成する場合、どのホストにユーザーのセッションを割り振られるのか、気になるところだと思います。


それぞれの方式でどのようにセッションが割り振られるのか、実際に設定内容を確認しながら紹介していきたいと思います。

例によって長文となってしまいましたので、、、ご興味のある方は続きをどうぞ。

2015年12月3日木曜日

VMware HorizonがTouch IDをサポート

少し前のUpdateですが、iOS版 Horizon Client 3.5.1でTouch IDがサポートされました。
リリースノートはこちら

Horizon Viewにおける標準的な認証標準機能としてはパスワード認証のみなので、セキュリティの観点ではあまりよい状況とは言えず、ICカード認証やRADIUS認証などの多要素認証を組み合わせてご利用頂くことで認証におけるセキュリティレベルを高めることが出来ます。

組み合わせ可能な多要素認証として、RSA Secure IDやRADIUSをこれまでサポートしていましたが、「Touch ID」はiOS標準の機能かつ生体認証なのでセキュリティレベルが高い(盗むことが難しい)ということもあって、どのような動きをするのかさっそく試してみました。

結論から言いますと、これはあくまで個人的にですが期待していたものとは少し違いました。。

本機能は、ユーザー名/パスワードの入力を「Touch ID」で"代用する"(利便性を高める)機能であり、ユーザー名/パスワード入力後の2要素認証として「Touch ID」を"強制する"(セキュリティレベルを高める)機能ではありませんでした。

ちょっと残念ではありましたが、、iOSが提供するTouch IDと連携出来るようになったことが大きな前進であると捉え、今後のアップデートで"強制出来る"ようになることを期待しましょう。

せっかくですので、「試してみたい」という方や「画面を見てみたい」という方のために、実際に確認した際の手順などを紹介しておきます。ご興味のある方は続きをどうぞ。

2015年10月31日土曜日

RDSH 自動ファームの構成ガイド

長らく更新が滞ってしまいましたが、、久々に投稿させて頂きます。

そんな私は最近、Horizonの中でも「RDSH」推しです。(笑

仮想デスクトップもよいですが、ユーザーさんが使いたいのは「アプリケーション」であって「デスクトップ」ではないという持論があり、VMwareさんの掲げる「One Cloud, Any Application, Any Device」の一端(Windows Application, Any Device)を担うテクノロジーだと思っています。もちろん、「デスクトップ」を使いたい場合には「公開デスクトップ」機能で対応可能です。

そんなRDSHですが、Horizonの最新バージョンである6.2で多くの機能強化が行われました。

リリースノートから抜粋すると以下の通りです。
・View Composerへの対応
・Cloud Pod アーキテクチャへの対応
・拡張ロードバランシング
・グラフィックス(3D vDGA および GRID vGPU)のサポート

View ComposerやCloud Podアーキテクチャといった大規模展開を見据えた機能強化に加え、これまでセッション数の少ないRDSHにセッションを割り振るといった単純な負荷分散しか出来ませんでしたが、CPU/メモリリソースの使用状況を踏まえた、より適切な負荷分散が可能になっています。さらにvDGA/vGPUのサポート。
まさに、RDSHのためのリリースと言っても過言ではないと思います。(笑

今回は、そんな機能強化の中から、「View Composer対応」についてご紹介します。

本機能は簡単に言ってしまうと、RDSHをたくさん展開したい場合に、1台ずつ構築せずとも、一気に10台、20台と展開することが可能になる、かつ技術的にはView ComposerによるLinked Cloneが採用されているため、OSなどの共通部分のディスク容量削減も可能です。

RDSHの環境においても、Windows Updateやアプリケーションの更新など、ホスト数が多くなってくると1台ずつ作業を行うのは大変ですし、何よりオペレーションミスによってファーム内のRDSHの状態(アプリバージョンなど)に差異が出てしまうことは避けたいところです。

イメージとしては、仮想デスクトップをView Composer(Linked Clone)で展開する場合と同じです。View Composerで展開されたファームのことを「自動ファーム」と呼びます。

それでは、実際に「自動ファーム」を構成する手順について紹介していきたいと思います。

久々の投稿ということもあり、、いつにも増して長文となっております。。
ご興味のある方は続きをどうぞ。