Horizon 7 新機能 (Windows10からのアプリケーション公開編)

本投稿は、vExperts Advent Calendar 2019 への寄稿となります。

お久しぶりでございます。（またも一年ぶりの投稿となり、猛省しております。。）

ブログはなかなか更新できませんでしたが、Horizon愛は日々温めておりましたので、１年分の愛をみなさまへお届けできればと思います。

今回のテーマは「Windows 10 からのアプリケーション公開」です。

何それ？と思う方もいらっしゃるかもしれませんが、公開アプリケーション（アプリケーション画面のみの転送）はこれまでRDSホスト（サーバーOS）からのみ公開が可能でしたが、Horizon 7 バージョン 7.9で新たにユニバーサルWindowsプラットフォームからの公開がサポートされ、Windows10（クライアントOS）にも対応しました。

Horizon 7 バージョン 7.11が先週リリースされたこともあり、さっそくアップグレードして設定方法をみていきたいと思います。

今回の投稿的には余談ですが、、
ついにHorizon Consoleがメインの管理コンソールになりました。（祝

<リリースノート抜粋>
Horizon Console が、Horizon 7 で推奨の基本 Web インターフェイスになりました。既存の Flash ベースの Horizon Administrator Web インターフェイスはサポートを継続しますが、2020 年初めには廃止される予定です。

Horizon Administratorにアクセスすると以下画面のようにHorizon Consoleがメインであることが明記されています。（この時点でかなりわくわくしています。。）

それでは、Windows10からのアプリケーション公開方法を見ていきましょう。
※毎度の事ながら長文となりますが、、ご興味のある方は続きをどうぞ。

Horizon 7 新機能 (非認証アクセス編)

お久しぶりです。

実に1年振りの投稿となりますが、、すみません。この1年間色々ありました。
もっとも大きな出来事は子供が生まれました。かわいくて仕方がありません。（笑

と、個人的な事はおいておき。。

Horizonのバージョン7.1がリリースされました！（祝

1年前に投稿した内容がバージョン7.0のリリースということで、Horizonの新バージョンリリースと共に投稿を復活したいと思います！

まずはリリースノートをチェックしましょう。

Release Note for VMware Horizon 7 version 7.1
https://pubs.vmware.com/Release_Notes/jp/horizon-7-view/horizon-71-view-release-notes.html

リリースノートをざっと見た感じの新機能は以下の通りです。
1. VMware Blast Extreme
2. URL Content Redirection Enhancements
3. Horizon for Linux 7.1 Desktops Enhancements
4. Smart Card Authentication
5. Published Desktops and Applications
6. Instant Clones
7. Virtual Desktops
8. Cloud Pod Architecture Enhancements
9. ADM and ADMX Template Files
10. IPv6 Environment
11. Horizon PowerCLI
12. Operating Systems for Instant-Clone Remote Desktops
13. vSphere Platform
14. Access Point
15. Horizon Client Information Plug-In
16. Information Experience

注目はやはりトップに記載されているBlastプロトコルに関する内容でしょうか。

Blast Extreme Adaptive Transport（通称BEAT）と呼ばれるこの機能は、ネットワーク環境に応じて速度や帯域などを自動で調整し、パケットロスを低減する機能のようです。PCoIPには従来似たような機能がありましたがBlastにも反映されたような感じですね。

他にも、LinuxVDIのUSBリダイレクト、RDSHファームやvGPUを有効にしたVDIでのInstantCloneサポート、vSphere6.5による仮想マシン暗号化のサポート（フルクローンのみ）など、多くの新機能や機能強化が行われています。

そんな中、私が最も注目したのは「非認証アクセス」です。（笑

リリースノートには以下のような感じで控えめに記されています。
You can configure unauthenticated access for users to access published applications from a Horizon Client without requiring Active Directory credentials.

非認証アクセス
Horizon ClientからConnection Serverにログインする際、通常であればユーザー名とパスワード、ドメインの選択が必要ですが、これらを不要にする認証方式です。
※公開アプリケーションのみ対応。

なぜこの機能に注目したかと言いますと、セキュリティ対策の一環でインターネットにアクセスできる環境を分離している場合など、ドメインが異なる環境を跨いでシングルサインオンを実現するためには、原則ドメイン間の信頼関係締結が必要です。インターネット分離のようにセキュリティセグメントの異なるドメイン間の信頼関係締結はあまりうれしくないので、非認証アクセスがあれば、これを不要にしつつ、シングルサインオンが出来るのでは？と思ったからです。

そんな期待を持ちつつ、さっそく試してみましたので設定方法などをご紹介します。

例によって（？）長文となりますので、ご興味のある方は続きをどうぞ。

Horizon for Linuxでシングルサインオン

昨年に引き続き、今年もvExpert2016を受賞させて頂きました。

http://blogs.vmware.com/vmtn/2016/02/vexpert-2016-award-announcement.html

# 本ブログをご覧頂きました皆様へ #
この場をお借りしましてお礼申し上げます。また、少しでも皆さんのHorizonライフにお役立て出来ているようであれば尚幸いです。今後ともどうぞよろしくお願い致します。

さて、今回の投稿はこれまで推しに推してきたRDSHではなく、Horizon for Linuxです。(笑

Horizon 6.2.1より、Linuxの仮想デスクトップでもシングルサインオンがサポートされたことをご存知でしょうか？ # 逆にサポートされていなかったことを知らない方が多いかもしれませんが。。

Horizon 6.2.1のリリースノートはこちら(今日現在の最新バージョンは6.2.2です。)
https://pubs.vmware.com/Release_Notes/jp/horizon-6-view/horizon-621-view-release-notes.html

シングルサインオンはWindowsの仮想デスクトップでは当たり前ですし、ドメイン参加するくらいで特段何も設定しなくても実現可能ですが、Linuxとなるとそう簡単にはいきません。。

まず、現在シングルサインオンがサポートされるディストリビューションは以下となります。
RHEL 6.6 Workstation x64
CentOS 6.6 x64

次にActive Directoryと統合するための方法としては、以下がサポートされているようです。
OpenLDAPパススルー認証
Winbind

以下、公式ドキュメントへのリンクですが、詳細な手順については触れられておらず、統合方法についても「動作することが分かっています。」という表現に留まっています。
さあ、皆さんの力の見せ所です。(笑

Linux と Active Directory の統合
http://pubs.vmware.com/horizon-62-view/index.jsp#com.vmware.horizon-view.linuxdesktops.doc/GUID-D8E3A4AA-83E9-46A4-8BBA-824027146E93.html

ただ、Winbindを使って統合する場合、Linuxデスクトップをクローンから複数台展開する場合にドメイン参加に失敗するようで、OpenLDAPによる統合が推奨されるとのことです。。

統合方法についても「お任せ」ということなので、、今回は「SSSD」を使ってみました。

検証した結果としては・・・
問題なくシングルサインオンでLinux仮想デスクトップにログイン出来ました！

せっかくですので、細かい設定方法などをご紹介したいと思います。
例によって長文となりますので、、ご興味のある方は続きをどうぞ。

RDSHにおける負荷分散方式について

2016年最初の、また、記念すべき(?)50投稿目のネタは、絶賛オススメ中の「RDSH」です。

今回は、Horizon 6.2で強化された「負荷分散」機能について色々と試してみたところ、意外にハマりましたので、、紹介したいと思います。

RDSHにおける負荷分散方式は、以下の2つの方式から選択可能です。

1. 接続数が少ないホストにセッションを割り振る
2. 負荷の小さいホストにセッションを割り振る New!!

「1」は元々あったデフォルトの分散方式で、「2」がHorizon 6.2で追加された分散方式です。

ユーザー数が多い環境などでRDSHを複数台構成する場合、どのホストにユーザーのセッションを割り振られるのか、気になるところだと思います。

それぞれの方式でどのようにセッションが割り振られるのか、実際に設定内容を確認しながら紹介していきたいと思います。

例によって長文となってしまいましたので、、、ご興味のある方は続きをどうぞ。

VMware HorizonがTouch IDをサポート

少し前のUpdateですが、iOS版 Horizon Client 3.5.1でTouch IDがサポートされました。
リリースノートはこちら。

Horizon Viewにおける標準的な認証標準機能としてはパスワード認証のみなので、セキュリティの観点ではあまりよい状況とは言えず、ICカード認証やRADIUS認証などの多要素認証を組み合わせてご利用頂くことで認証におけるセキュリティレベルを高めることが出来ます。

組み合わせ可能な多要素認証として、RSA Secure IDやRADIUSをこれまでサポートしていましたが、「Touch ID」はiOS標準の機能かつ生体認証なのでセキュリティレベルが高い(盗むことが難しい)ということもあって、どのような動きをするのかさっそく試してみました。

結論から言いますと、これはあくまで個人的にですが期待していたものとは少し違いました。。

本機能は、ユーザー名/パスワードの入力を「Touch ID」で"代用する"(利便性を高める)機能であり、ユーザー名/パスワード入力後の2要素認証として「Touch ID」を"強制する"(セキュリティレベルを高める)機能ではありませんでした。

ちょっと残念ではありましたが、、iOSが提供するTouch IDと連携出来るようになったことが大きな前進であると捉え、今後のアップデートで"強制出来る"ようになることを期待しましょう。

せっかくですので、「試してみたい」という方や「画面を見てみたい」という方のために、実際に確認した際の手順などを紹介しておきます。ご興味のある方は続きをどうぞ。

AppStackの作成方法

こちらの投稿で紹介させて頂いた、VMwareが新しく提供するアプリケーションとユーザーデータを即座に配信可能とする製品であるAppVolumes。今回はそのAppVolumesでアプリケーションを配信するために必要となる「AppStack」の作成方法をご紹介したいと思います。

AppStackを作成するには、以下の環境が必要です。
AppVolumes Manager
AppStack作成用のApp Volumes Agentマシン

AppVolumesは仮想マシンに配信することを前提としているので、環境を構築にあたり、vSphere(vCenter Server/ESXi/データストア)も必要です。

AppStackもまたアプリケーションを仮想化(?)するので、ThinAppやMirage同様、クリーンな環境で作成することが重要です。AppStack作成用のAppVolumes Agentマシンには、OSとAppvolumes Agent以外は何もインストールせずに臨んでください。

大まかな作成手順は以下の通りです。
1. 空のAppStackを作成する
2. Agentに空のAppStackを割り当てる
3. Agent側でアプリケーションをインストールする
4. AppStackの作成を完了する

何となく想像していた通りだと思いますが、「3.」の手順でインストールしたアプリケーションが格納されたVMDKが「AppStack」となります。

それでは、順を追ってAppStackの作成方法を紹介します。ご興味のある方は続きをどうぞ。

Workspace PortalでThinAppのネットワーク共有設定に失敗する

Workspace Portalを再構築したところ、ThinAppのネットワーク共有設定に手こずったので、メモ。

ThinAppパッケージの格納先として、DFS-Rで組んだファイルサーバーを用意したのですが、ネットワーク共有設定が何度やってもエラーとなってしまいます。

RepoUpdateRegistry() failed with error: ERROR_INVALID_DATA

RepoUpdateRegistry() failed with error115

設定情報はこんな感じです。

今回はネットワーク共有にDFSを利用しているために、"DFS共有およびHttpDownloadモードの展開に必要"にチェックを入れて、その下の共有のユーザー、共有のパスワードを設定していますが、どうもここで引っかかっていたようです。

ふと思い立って、共有のユーザーをUPN(ユーザー名@ドメイン名)で指定したところ、さらっと設定完了しました。

今回はアクセス方法やHttpDownloadモードの詳細には触れていませんが、HttpDownloadモードはドメインに参加していないPCでもWorkspaceからThinAppアプリを利用させることが出来る便利な機能です。HttpDownloadモードを構成する場合でもThinAppリポジトリへのアクセス方法はアカウントベースで構成する必要があるので、同じ問題に遭遇かもしれません。

アクセス方法やHttpDownloadモードについては以下をご参考下さい。

ThinApp パッケージおよびネットワーク共有リポジトリのための Workspace の要件
http://pubs.vmware.com/workspace-portal-21/index.jsp#com.vmware.wsp-resources_21/GUID-8AF678D8-AD07-4DB0-9659-1112E270DE3A.html

Viewタイムアウト(セッションタイムアウト編)

前回に続き、Viewタイムアウト第2弾です。

View デスクトップに接続している時に、突然切断されてしまった経験はないでしょうか。

そうなんです。Viewにはデフォルトで強制切断タイマーが設定されています。(泣

こちらのタイムアウト時間ももちろん変更可能です。
具体的な設定方法についても紹介していますので、ご興味のある方はどうぞ。

Viewタイムアウト(View Administrator編)

プールの作成時などの命名規則で悩んでいる間に、View Administratorがタイムアウトになってしまう方、多いのではないでしょうか。

View Administratorのタイムアウト時間は変更が可能です。

"インベントリ"より、[View 構成]-[グローバル設定]の順にクリックします。

"全般"ウィンドウにある[編集]ボタンをクリックします。

"View Administrator セッション タイムアウト"項にて定義されており、デフォルトでは[30]分に設定されています。
# 設定可能な範囲は、[1]から[4320]分までです。

# 余談ですが、VMware公式ドキュメントには、あまりに長い時間を設定すると離席時などに不用意に操作されるセキュリティリスクがある、との記載があります。

View Security Settings
https://pubs.vmware.com/horizon-61-view/index.jsp#com.vmware.horizon-view.security.doc/GUID-0B43BEE4-82FC-4207-B6A7-6AF493B15DD1.html

Setting the View Administrator session timeout to a high number of minutes increases the risk of unauthorized use of View Administrator. Use caution when you allow an idle session to persist a long time.

設定する時間はあまりに長くし過ぎず、かつ、毎回ログインし直すのも面倒なので、運用状況に合わせて適切な時間を設定して下さい。私はよく2時間(120分)に設定しています。
離席する際はPCをロックしますし、2時間も触ってないなら、さすがに自分が悪いかなと。(笑

Viewには他にも色々とタイムアウト値がありますので、少しずつ紹介出来ればと思います。

ロケーションベース印刷の設定方法

ロケーションベース印刷とは、VMware Horizon Viewにおけるプリンタをマッピングするテクノロジーで、接続するクライアントの環境(ロケーション)に応じて、適切な(ex 物理的に近い)プリンタを仮想デスクトップにマッピングすることでユーザーに最適な印刷環境を提供します。

たとえば、病院の医師が次々と部屋を移動する場合、医師は今いる部屋がどこかを意識せずに、現在いる部屋に最も近いプリンタに印刷ジョブが送信されます。

ただ、Viewが自動的に部屋に設置されているプリンタがどれかを自動で判断してくれる訳ではなく、あくまで「このロケーション」の時には「このプリンタ」をマッピングするという「ポリシー」をあらかじめ定義しておく必要があります。運用者さんの泥臭い努力のたまものなのです。

病院や学校など、利用者が特定多数の場所からアクセスするような環境において印刷要件がある場合には有効な機能ですので、ぜひ試してみて下さい。

ロケーションベースの印刷機能を利用するためには、いくつかの準備が必要です。

1. 仮想印刷機能とプリンタドライバを仮想デスクトップインストールする
2. TPVMGPoACmap.dll をドメインコントローラに登録する
3. グループポリシーを設定する

【参考】ロケーションベースの印刷の設定
https://pubs.vmware.com/horizon-view-60/index.jsp#com.vmware.horizon-view.desktops.doc/GUID-1EB46B6D-EBF7-499E-9AE1-D8253C9FB241.html

実際に試してみましたので、設定手順をご紹介します。

ThinAppパッケージング方法(解説付き)

これまで、さんざん他のHorizon製品とThinAppを連携させる方法を紹介させて頂きましたが、肝心のThinAppのパッケージング方法を紹介していないのは如何なものかと。

Horizon ViewやWorkspace Portalと連携してアプリを配信するためには、『ThinApp化』する必要がありますし、前の投稿でMirageのアプリレイヤの作成方法を紹介しましたが、互換性という面では、ThinAppと組み合わせるのがオススメです。

別の視点からでは、2015年7月にサポートが切れてしまうWindows Server 2003のXenAppやターミナルサービス上で動作しているアプリをWindows Server 2012上でも動作させるためにThinAppを使う、といった需要もこれから増えてくるようにも思います。

いずれにしても、『ThinApp化』出来ないことには始まらないので、そのきっかけに
なればと思いまして、パッケージング方法を(私なりの)解説付きで紹介します。

パッケージング方法の大まかな流れは以下となります。

1. クリーンなOS環境の準備
2. インストール作業の準備
3. Setup Captureの起動
4. PreScanの実施
5. アプリケーションのインストール
6. PostScanの実施
7. パッケージの設定
8. ビルド

ThinApp 5.1はまだ英語版しかありませんが、VMwareさんのドキュメントも参考下さい。
http://pubs.vmware.com/thinapp-51/index.jsp#com.vmware.thinapp51.userguide.doc/thinapp_Preface.html

それでは、ThinAppパッケージング方法(解説付き)、スタートはじめます！

Mirage アプリレイヤの作成方法

今回は、Mirageを使ったアプリレイヤの作成方法について紹介したいと思います。
# ここ最近、かなりMirageづいていたのでネタが豊富です。（笑

Mirageとは物理/仮想マシン問わず、Windowsマシンのディスクイメージを管理するための製品で、ドライバ、OS、アプリケーション、ユーザーデータなど『レイヤ』に分割してマシンイメージを管理することで、管理者で用意したOSイメージに入れ替える、追加のアプリケーションを配信する、といった具合に、Windowsマシンの管理を柔軟かつ効率的に行うことが可能です。

VMware Mirageについてはこちら。
http://www.vmware.com/jp/products/horizon-mirage

アプリレイヤは、その名の通り、アプリケーションに特化したレイヤで、通常アプリケーションを利用するためには「インストール」が必要ですが、アプリケーションを『レイヤ』化することで、Mirageで管理しているマシンに対して配布するができ、インストールしなくともアプリケーションが利用可能になるという何ともオシャレな機能です。

アプリレイヤを作成・利用するまでの具体的な工程は以下の通りです。
1. レイヤ作成用の参照マシンを準備
2. Mirage Client のインストール
3. アプリレイヤキャプチャの開始(プリスキャン)
4. アプリケーションのインストール
5. アプリレイヤキャプチャのファイナライズ
6. レイヤの作成
7. アプリレイヤの割り当て

それでは順を追って手順をご紹介します。
# そこそこの長編になってしまいましたので、ここでひと区切り。

DFSを使ってThinAppリポジトリを冗長化する方法

昨日に引き続き、ThinAppネタです。

ThinAppリポジトリをWindowsファイルサーバーでホストするケースは多いと思いますが、
冗長化のためにフェイルオーバークラスタを構成するとなると、OSライセンスにEnterpriseが必要であったり、共有ストレージが必要であったりと、どうしてもコストがかかってしまいます。

今回は、Windows Server OSに標準機能として搭載されている『DFS』と『DFS-R』を使ったThinAppリポジトリの冗長化について検証してみましたので、設定方法をご紹介します。

大まかな流れ
1. ThinAppリポジトリを2台用意する。
2. 分散ファイルシステムをインストールする。
3. 名前空間を作成する。
4. フォルダを作成する。
5. DFSレプリケーションを構成する。

実際に構築してみた感想ですが、思った以上に簡単で、オススメです。

リファレンスガイドでも可用性を確保する仕組みとしてDFSが紹介されてます。

それでは、詳細な設定方法を紹介していきます。

ThinAppアプリをViewプールに割り当てる方法

ThinAppは全Horizon製品にバンドルされるなど、今やアプリケーション運用を考える時には切り離せない(？)存在になってきました。

今回は、そのHorizon製品の中でも仮想デスクトップ基盤である『Horizon View』環境でThinAppアプリを配信する方法についてご紹介します。

大まかな流れ
1. ThinAppアプリの作成
2. ThinAppリポジトリの作成
3. ThinAppリポジトリの登録
4. ThinAppアプリの配置
5. ThinAppアプリのスキャン
6. ThinAppアプリの割り当て

オペレーション自体は特に難しくはありませんが、アプリがThinApp化出来るかどうか、、、
という点が最大の障壁でしょうか。。
諦めてはいけません、諦めたらそこで試合は終了です！（笑

それでは、順を追って紹介していきます。

RDSHアプリケーションの設定方法

今回は、VMware Horizon with View 6 (要Advanced Edition)にて追加された『RDSHアプリケーション』の設定方法について紹介します。

VDIはデスクトップ画面全体を転送しますが、RDSHアプリケーションはアプリケーションの画面だけを転送します。プロトコルはもちろん『PCoIP』です。

RDSHを使うと以下のようなメリットがあります。

・VDIに比べ集約率が高く、VDAも不要なため、低コストで構成可能。
・VDIのイメージ管理からアプリケーションを切り離せるので管理が楽。
・いきなりアプリケーションの画面が表示されるので起動するのが楽。
・何よりもアプリケーションはそのままにマルチデバイスアプリに早変わり。

ただ、デメリット（というよりも制限）もあります。
・アプリケーションがサーバーOS上で動作しなければならない。
・アプリケーションがマルチユーザーモードに対応している必要あり。
・アプリケーションのライセンス許諾的にOKかどうか。

デメリットを乗り越えられるのであれば得られるメリットは十分に大きいと思います。
皆さん、積極的にRDSHアプリケーションを活用しましょう！

では、その設定方法を。

キオスクモードの設定方法

View のキオスクモードを構成する機会がありましたので、設定手順のメモも兼ねて連投。

キオスク モードのクライアントの設定
https://pubs.vmware.com/horizon-view-60/index.jsp#com.vmware.horizon-view.administration.doc/GUID-84E6E2DA-0CFA-4D92-B880-8FC0ECE8A1E1.html

キオスク端末とは・・・
空港やインターネットカフェ、図書館などに設置されているような、不特定多数の方が利用するものの、使えるアプリなどが特定・限定されている端末のことを指します。

とどのつまりは、認証なしでシームレスに仮想デスクトップにログオン出来るように、ADやView、View Clientを構成してしまう、ということになります。
# 実際問題として認証していない訳ではなくて、、予め管理者さんで決まった構成で設定をしておき、利用者さんとしての操作を不要にするという感じです。

設定順序は以下の通り。

ショートカットが配布後にでも変更可能に！？

記念すべき初投稿です。

個人的に思い入れのある「VMware ThinApp」ネタでスタートしたいと思います。(笑

先日(2014/09/09)にThinApp5.1がリリースされました。
https://www.vmware.com/support/thinapp4/doc/releasenotes_thinapp51.html

今回のUpdateは色々と機能追加が図られていますが、中でも「Reconfiguring Attributes of Deployed ThinApp Packages」というパッケージ展開後に属性が変更出来る、何ともわくわくする機能が追加されています。

今回はその中から「Entry-Point Shortcuts」について実際に試してみました。