Archiv für die Kategorie » Virtualisierung «

07 | 09 | 2018

HTML5-Client für RDS – große Freude mit kleinen Tücken

Geschrieben von um 20:16 Uhr

Anfang des Jahres hat Microsoft ohne viel Trara einen HTML5-Client für RDS herausgebracht. Ich habe mir das Ding angeschaut und war vom ersten Test ziemlich begeistert. Besonderheiten der neuen Komponente in Kürze:

  • einsetzbar nur für eine komplette RDS-Bereitstellung, nicht für den Zugriff auf einzelne Server
  • ist fest verheiratet mit RDWeb (und ersetzt ihn, wenn man den Webclient produktiv veröffentlicht)
  • erfordert zwingend den RD Gateway (und somit SSL-Zertifikate, denen ohne Wenn und Aber vertraut wird)
  • Drucker- und Zwischenablagenumleitung werden unterstützt, Laufwerke und SmartCard (noch) nicht, von anderer Peripherie ganz zu schweigen
  • Die RDS-Infrastruktur – Broker, RDWeb und Gateway – muss auf Server 2016 oder 2019 laufen (Worker können aus der 2012R2-Generation sein)
  • RDSCALs müssen per User vergeben werden (Device CALs würden sonst sehr schnell verbraucht werden)
  • Nach der offiziellen Guidance (https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/clients/remote-desktop-web-client-admin) muss jeder RDWeb-Server zum Zeitpunkt der Installation Zugang zum Internet, d.h. zur PowerShell Gallery, haben.

Da ich kein großer Freund von Previews bin, habe ich die Testumgebung mit Server 2016 aufgebaut. Deshalb muss ich auf meinem RDWeb-Server zunächst einmal das NuGet-Modul updaten:

Install-Module -Name PowerShellGet -Force

Danach muss die PowerShell geschlossen und neu gestartet werden. So auf die neueste NuGet-Version gebracht, kann das Management-Modul für den Web Client installiert werden:

Install-Module -Name RDWebClientManagement

Das Modul exportiert 12 Cmdlets mit vielversprechender Funktionalität:

Uninstall-RDWebClient
Get-RDWebClientBrokerCert
Import-RDWebClientBrokerCert
Remove-RDWebClientBrokerCert
Get-RDWebClientDeploymentSetting
Set-RDWebClientDeploymentSetting
Find-RDWebClientPackage
Get-RDWebClientPackage
Install-RDWebClientPackage
Publish-RDWebClientPackage
Uninstall-RDWebClientPackage
Unpublish-RDWebClientPackage

Schauen wir mal, was Find-RDWebClientPackage so findet… Das sieht vielversprechend aus:

packageId                       : rd-html5
version                         : 1.0.0
author                          : Microsoft
summary                         : The Remote Desktop Web Client
minRDWebClientManagementVersion : 1.0.0
url                             : https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2mzyl
_baseVersion                    : 1.0.0

Doch was ist das? Bereits durch dieses „Finden“ wurde der Ordner „C:\Program Files\RemoteDesktopWeb“ erzeugt, mit einem Ordner „Internal“, auf den ich gar keine Rechte habe! OK, „Deny Everyone Read“ ist ein bisschen plump, aber Internal ist Internal. Drin sind drei Ordner: „Clients“, „Config“ und „Temp“. Alle drei sind noch leer bis auf die „Config\deploymentSettings.js“, die folgenden Inhalt hat:

var DeploymentSettings = {
    "deploymentType":  "rdWeb",
    "suppressTelemetry":  false
}

Echt jetzt? Es wird also früh vorgesorgt, dass die Telemetrie schön an ist. Weiter im Text. Sowohl Get-RDWebClientPackage als auch Install-RDWebClientPackage haben keinen Parameter, mit dem man einen lokalen Speicherort angeben kann, meine RDWeb-Server brauchen also wirklich Zugang zum Internet, damit ich den Web Client installiert bekomme. Im Moment hat mein RDWeb-Server Internet, also installiere ich:

Install-RDWebClientPackage

(das ausgepackte Archiv aus dem Internet liegt nun unter „C:\Program Files\RemoteDesktopWeb\Internal\Clients\4csqnmex.0iv“…)

Import-RDWebClientBrokerCert C:\temp\RDWeb.cer

(das Zertifikat wurde nach „C:\Program Files\RemoteDesktopWeb\Internal\Config\brokercert.cer“ kopiert…)

Publish-RDWebClientPackage -Type Test -Latest

Das war’s! Bereits im IE11 bekomme ich unter https://F.Q.D.N/RDWeb/webclient-test eine moderne Oberfläche angezeigt, verbunden mit dem Hinweis, dass Audio nicht geht: OK, IE11 ist nicht gerade ein HTML5-fähiger Browser…
In Chrome sieht es schon ganz anders aus:

Soweit, so gut. Sieht richtig gut aus, und die Performance haben die RDSGURUS ja auch positiv getestet. Schauen wir mal, was man so einstellen kann, denn oben rechts ist ja ein Zahnrad:

Na, da hat es sich ja richtig gelohnt, einen Dialog dafür zu basteln.
Freunde, diese Telemetrie-Einstellung ist gar nicht so harmlos wie sie aussieht. Wenn ich nämlich die Telemetrie anlasse und der Testumgebung den Internet-Zugang wegnehme, so startet der Web-Client gar nicht erst!

Hmm, das ist nicht schön. Zum Glück betrifft das den Rechner, von dem aus man den Browser öffnet, und nicht die gesamte Bereitstellung. Macht ja auch irgendwie Sinn, dass die am Frontend Telemetrie-Daten sammeln. Könnte diese Zeile sein:

Nicht umsonst hat Microsoft dem PowerShell-Modul das Cmdlet Set-RDWebClientDeploymentSetting mitgegeben, damit kann man nämlich auch ohne Internet-Zugang die Telemetrie ausschalten:

Set-RDWebClientDeploymentSetting -Name SuppressTelemetry -Value $true

Und falls sich jemand die Frage gestellt hat, ob das Ganze auch auf anderen Betriebssystemen geht (z.B. weil er MacOS-User ist und von den ewigen Troubles mit dem RDP Client die Nase voll hat)…

Happy RDSing!

Tags » , , , , , , «

+

17 | 03 | 2017

„Verbindung verweigert“ zwischen SEP sesam und XenServer: Fake News

Geschrieben von um 8:09 Uhr

Wieder was gelernt: Wenn der Versuch, einen XenServer-Sicherungsclient zur SEP sesam-Topologie hinzuzufügen, mit der Fehlermeldung

E002-HOSTS   Kein Zugang auf Rechner <XENPOOLMASTER>: 2017-03-16 16:41:49: sxs-1500: Error:    Could not login to XEN Server: <class ’socket.error‘>: [[Errno 10061] Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte]

quittiert wird, muss es noch lange nicht heißen, dass man etwas falsch gemacht hat oder dass ein Netzwerkproblem vorliegt. Einfach ignorieren und versuchen, einen Sicherungsauftrag anzulegen – die Chancen stehen gut, dass es klappen wird. Sehr gut sogar.

Es geht nämlich bei der Verbindungsprüfung nicht ein einziges Paket Richtung XenServer – ich habe es sogar mit WireShark überwacht, so sehr hat diese Meldung uns aus der Spur gebracht.

Aber so ist es halt mit allen Fake News…

Tags » , , , «

+

07 | 03 | 2017

Leider kein April-Scherz – neue VMware-Zertifizierungspreise

Geschrieben von um 22:46 Uhr

Ab dem 01. April wird VMware die Zertifizierungspreise „anpassen„. Und während man vielleicht die Erhöhung von $400 auf $450 (12,5%) für Advanced-Zertifizierungen noch verschmerzen kann, tun mir die besten der besten armen Schweine leid, die vorhatten, ihre VMware-Recognition mit einem VCDX-Titel zu krönen. Statt $1200 (300 Registrierung + 900 Verteidigung) müssen sie nun $3900 löhnen (900 Registrierung + 3000 Verteidigung). Das ist eine Erhöhung um 225%. Und dass man dafür von Duncan Epping persönlich zerlegt wird, lindert den Schmerz vermutlich nur marginal.

Einmal ausnahmsweise ist es ein gutes Gefühl, nicht zu den besten auf einem Gebiet zu gehören…

*seufz*

Tags » , , «

+

24 | 02 | 2017

Das war mal wieder soweit…

Geschrieben von um 15:14 Uhr

… und ich musste meinen VCP erneuern. Diesmal beschloss ich, dies im Wege eines Delta Exams zu tun. Das ging gut, aber ich denke, nächstes Mal mache ich mal wieder eine volle Prüfung. Der Aufwand ist derselbe und der Stressfaktr etwas weniger 😉

Tags » , , «

+

10 | 02 | 2017

Der beste Wandschmuck: ein PowerCLI 6.5R1-Poster

Geschrieben von um 22:58 Uhr

Für Leute mit Platz an der Wand und einem Großformatdrucker: https://blogs.vmware.com/PowerCLI/2017/02/powercli-65-poster.html

Tags » , , «

+

07 | 10 | 2016

MAP in einer Workgroup-Umgebung

Geschrieben von um 22:30 Uhr

Heute mal etwas leichtere Kost, eher als Reminder gedacht.

Das Microsoft Assesment & Planning Toolkit ist ja ein bewährtes Mittel zur systemübergreifenden Performance-Analyse. Zum Beispiel, um eine Konsolidierung von Servern von Physik und „wilder Virtualisierung“ auf geordnete virtuelle Plattformen oder in die Cloud zu modellieren. So auch heute. Die Herausforderung jedoch war, dass nur einer der zu betrachtenden Server tatsächlich Domänen-Mitglied ist – und zwar in einer Domäne, in die der MAP-Server natürlich nicht aufgenommen werden durfte! Alle anderen Server gehören keiner Domäne an, und die meisten von ihnen haben nur den Default-„Administrator“ an Konten eingerichtet. Das Kennwort von diesem Administrator ist zwar nicht überall unterschiedlich, aber auch nicht überall gleich – ca. die Hälfte der Server hatte „Kennwort1“, und der Rest teilte sich in etwa gleichmäßig in „Kennwort2“ und „Kennwort3“.

Landet man in einer solchen Situation, so muss man folgendes berücksichtigen:

  • „.\Administrator“ kann MAP nicht erfassen, nur „Administrator“ oder „<COMPUTER>\Administrator“
  • Jedes Account kann in der exakten Schreibweise nur einmal vorkommen, das Erfassen von „Administrator“ mit unteschiedlichen Passwörtern ist also nicht ohne weiteres möglich
  • Im Inventory-Teil kann man jedem Eintrag, wenn man ihn manuell eingibt, oder jeder Liste, wenn man sie aus Dateien einliest, ein eigenes Konto zuweisen.
  • Im Performance-Sammlungs-Teil gibt es diese Funktion aber nicht – da kann man NUR eine Liste von Accounts zum Durchprobieren erfassen!
  • Die Schreibweise „<COMPUTER>\Administrator“ wird im Performance-Sammlungs-Teil nur für den Computer akzeptiert, der auch tatsächlich da steht. Somit mussten wir die Durchprobier-Liste in Form „Administrator – Kennwort1″,“DomainUser – DomainKennwort“, „SERVER2A\Administrator – Kennwort2“, „SERVER2B\Administrator – Kennwort2″,…“SERVER2Z\Administrator – Kennwort2″,“SERVER3A\Administrator – Kennwort3“,… erfassen. Alles andere hat nicht funktioniert.
  • Im Inventory-Teil (WMI) wird hingegen auch ein „fremder“ Computername angenommen, wenn nur der Benutzername und das Kennwort passen.

Last but not least: Die eingegebenen Accounts werden bei Abmeldung „vergessen“ und stehen beim nächsten Aufruf von MAP nicht zur Auswahl.

In einer Domänen-Umgebung wäre das alles überhaupt kein Problem…

 

Tags » , , «

+

24 | 04 | 2015

VCP550-DCV Rezertifizierung

Geschrieben von um 16:31 Uhr

Ich hatte ja meine VCP-Zertifizierung schon verloren geglaubt… dann hat VMware aber bis 09.05.2015 verlängert, und ich konnte mich doch noch anmelden 🙂

Nun habe ich zwei Jahre Ruhe auf dieser Front, bin aber gespannt ob man die Complimentary Workstation License bei jeder Rezertifizierung auf dem aktuellen Versionsstand bekommt. Das wäre doch schön…

Tags » «

+

22 | 08 | 2014

Es soll wieder XenApp (und diesmal auch XenDesktop) für Linux geben!

Geschrieben von um 9:03 Uhr

Citrix hat gestern zur Bewerbung für das limited tech preview des VDA für Linux eingeladen: http://www.citrix.com/news/announcements/aug-2014/citrix-offers-technology-preview-of-linux-virtual-apps-and-deskt.html. Wurde auch Zeit 🙂

Ich habe mich natürlich sofort beworben – mal sehen, ob’s tut.

Tags » , , , , , «

+

14 | 05 | 2014

Unterwegs mit Hyper-V: mobil ins Internet

Geschrieben von um 16:24 Uhr

Hat man einen Laptop, der sich aufgrund der technischen Daten als Virtualisierungshost eignet (so z.B. hier ein DELL Precision M4800 mit einem i7 und 32 GB RAM), und ist man dann auch noch als IT-Experte in verschiedenen Projekten unterwegs, so liegt es nahe, in Bezug auf die Arbeitsumgebung genauso zu verfahren als wenn man einen Server hätte: Auf dem Host (d.h. Hardware des Notebooks) möglichst keine Anwendungssoftware, sondern lediglich Gerätetreiber zu installieren, und seine Büroumgebung – neben den ganzen Projektmaschinen – innerhalb  einer VM zu betreiben. Möchte man gleichzeitig das Prinzip „practise what you preach“ respektieren, bleibt einem nicht viel übrig als auf Hyper-V zu setzen. Zum Glück bietet Hyper-V für Windows 8.1 (auf einen einzelnen Host bezogen) nahezu die gleichen Funktionen wie das im Server 2012 R2, daher kann man das Client-Betriebssystem nehmen und bzgl. Treiber auf der sicheren Seite sein.

In einem Punkt offenbart sich die Feature-Parität des Client- zum Server–Hyper-V allerdings sehr schnell als Fluch statt Segen: Nämlich im Umgang mit Geräten, die ein typischer Server nicht hat. Und während der WLAN-Adapter durchaus als Uplink an den vSwitch „angeschlossen“ werden kann (hier übrigens im Gegensatz zum Server-Hyper-V, da geht es nicht ohne Tricksen), ist es bei der UMTS-Karte schon schwieriger, denn diese präsentiert sich dem System als ein Dial-Up-Adapter und nicht als Netzwerkkarte:

UMTS-Karte in einem Laptop

Solche Adapter stehen als Uplink zum vSwitch nicht zur Verfügung:

Auswahl an NICs

Was also tun? Eine gern genommene Variante ist es freilich, auf den UMTS-Chip ganz zu verzichten und einen Taschen-Hotspot zu verwenden. Ich habe sogar so ein Ding und verwende es gelegentlich auch. Aus zwei Gründen wollte ich jedoch den Onboard-UMTS-Chip nutzen können:

  • die SIM-Karte im Laptop (für die mein Arbeitgeber bezahlt) ist „micro“, der mobile Hotspot möchte aber eine normale SIM, für die bezahle ich aber selbst 😉
  • Manchmal möchte man eben einfach nur ein Gerät dabei haben, zumal es ja entsprechend ausgerüstet ist.

Zur Hilfe kommt hier ein Windows-Feature aus dem „Home User-Bereich“, das man als Experte schon oft belächelt hat: Inernet Connection Sharing. Funktioniert in diesem Fall aber einwandfrei und macht nichts kaputt. Und das geht so:

1. Einen neuen Virtual Switch vom Typ „Internal“ anlegen. Auf diesen haben standardmäßig sowohl die VMs als auch der Host Zugriff:

2. Dann schalten wir auf dem UMTS-Adapter das ICS ein und definieren als das zu bedienende Heim-Netzwerk den neuen vSwitch:

Jetzt müssen nur noch die VMs, die den Zugang über UMTS brauchen, auf den WWAN-vSwitch umgestellt werden:

Et voila!

 

Tags » , , , , «

6

10 | 05 | 2014

Exchange DAG-Member und vMotion/Live Migration

Geschrieben von um 8:06 Uhr

Gestern Abend, in der Diskussionsrunde nach dem Treffen der Berliner Windows Server UG, fiel aus einem in der Szene sehr respektierten Mund der Satz (sinngemäß): „Man darf Exchange 2013-Server verschieben, aber nur mit LiveMigration, also nur auf Hyper-V“. Dies hörte sich nicht richtig an, also habe ich nachgelesen (Ausgangspunkt war dabei TechNet). Tatsächlich ist folgendes der Fall:

  • Man kann DAG-Member im Betrieb verschieben, allerdings nicht erst seit 2013, sondern bereits ab 2010SP1
  • Wichtig für den Support ist nicht der Hypervisor (solange er Teil der Virtualisierungsinitiative ist), sondern das Verfahren. Es darf nämlich kein Zustand der VM auf die Festplatte zwischengespeichert werden. Somit sind neben LiveMigration auch vMotion und XenMotion qualifiziert und vermutlich auch weitere Verfahren, nicht jedoch z.B. Quick Migration
  • Support für das Verfahren wird vom Hypervisor-Hersteller bereitgestellt. VMware pflegt dazu das Best Practices-Dokument https://www.vmware.com/files/pdf/Exchange_2013_on_VMware_Best_Practices_Guide.pdf . Sicherlich gibt es auch ein ähnliches Dokument von Citrix, wenn ich es finde, poste ich den Link hier. Wichtig dabei ist, dass die Elastizität des Clusters etwas erhöht wird, um Spontanfailover während einer vMotion/LiveMigration zu vermeiden.

Bleibt also noch die meistgehasste Frage, nämlich nach der Lizenzierung eines solchen Verfahrens. Hier gilt (s. offiziellen Guide) das Übliche:

  • VL mit SA = Mobilität innerhalb der Farm
  • VL ohne SA = 90-Tage-Bindung an die Hardware
  • Retail oder OEM = keine Mobilität

Die Sinnhaftigkeit der Virtualisierung von DAG-Membern ist freilich nicht Gegenstand der Diskussion 😉

Tags » «

+