Requisiti Active Directory e VDI

Durante la mia sessione VC27 – Virtualizzazione del desktop VDI vs RDS alla Microsoft Virtualization & Private Cloud Conference 2012 ho fatto un accenno ai requisiti riguardo ad Active Directory per quanto riguarda l’infrastruttura VDI. In questo post cercherò di essere più esaustivo sull’argomento dal momento che vi sono state domande in merito.

Innanzitutto va detto che i Virtual desktop pools non necessitano di uno specifico livello di schema di Active Directory, al contrario dei Personal Virtual Desktop invece necessitano che lo schema della foresta di Active Directory sia almeno Windows Server 2008 (objectVersion=44) o successivo.

Il motivo di questo requisito dipende dal fatto che l’assegnazione al Personale Virtual Desktop viene memorizzato nell’attributo msTSPrimaryDesktop dell’oggetto account utente, presente appunto a partire dalla versione Windows Server 2008 dello schema della foresta Active Directory.

Per poter impostare il Personal Virtual Desktop sull’account utente tramite lo snap-in Active Directory Users and Computers (dsa.msc) occorre però operare su un server Windows Server 208 R2 o su un Windows 7 tramite RSAT in quanto nella versione contenute in Windows Server 2008 dello snap-in Active Directory Users and Computers l’interfaccia grafica non espone la possibilità di impostare la proprietà.

Si ricordi che in caso di necessità gli attributi possono anche essere gestiti tramite il tool ADSI Edit, inoltre per ottenere un elenco delle VM assegnate agli utenti come Personal Virtual Desktop è possibile utilizzare il cmdlet Get-VirtualDesktop del modulo Remote Desktop Services (a riguardo si vedano Assign a Personal Virtual Desktop by Using Active Directory Users and Computers e About Virtual Machine Assignments).

Inoltre per implementare i Personal Virtual Desktop occorre che il livello funzionale del dominio di Active Directory sia almeno Windows 2000 Server native mode.

In ogni caso per implementare una infrastruttura VDI è necessaria Active Directory, ovvero non è possibile utilizzare Personal Virtual Desktop o Virtual desktop pools in workgroup in quanto l’aggiunta del ruolo Connection Broker su cui si basa l’infrastruttura VDI prevedere che il server che ospiterà tale ruolo sia membro di un dominio Active Directory.

image

Invece i requisiti relativi allo schema della foresta di Active Directory (almeno Windows Server 2008) e al livello funzionale del dominio (almeno Windows 2000 Server native mode) consentono comunque di implementare una infrastruttura VDI anche se non vi sono domain controller Windows Server 2008 o superiori, ma ad esempio sono Windows Server 2003.

Infatti basata aggiornare lo schema della foresta di AD tramite il comando Adprep (o Adprep32 per DC con versioni a 32 bit del sistema operativo) reperibile sul DVD d’installazione di Windows Server 2008 R2 nella cartella support\adprep.

Il comando necessario per aggiornare lo schema della foresta è il seguente DVD:\support\adprep\adprep.exe /forestprep (o DVD:\support\adprep\adprep32.exe /forestprep).

Anche se per implementare l’infrastruttura VDI non è necessario, nell’ottica di inserire poi DC con WS2008 R2 tanto vale eseguire anche gli altri comandi per la preparazione del dominio e delle GPO come indicato in Running Adprep.exe:

  • DVD:\support\adprep\adprep.exe /domainprep (preparazione del dominio per inserire DC WS2008 R2)
  • DVD:\support\adprep\adprep.exe /domainprep /gpprep (non necessario se è già stato eseguito con l’Adprep di WS2003)
  • DVD:\support\adprep\adprep.exe /rodcprep (se i intenderà aggiungere Read Only DC)

Per ulteriori approfondimenti si vedano:

Configurazione delle VM per il loro utilizzo in ambiente VDI

Una nota a proposito della configurazione delle VM per poter essere utilizzate in ambiente VDI vanno configurate per farlo è possibile utilizzare lo script Configure-VirtualMachine.ps1 disponibile su script center, ma va detto che questo script, come ho indicato nella sessione, è stato sviluppato per sistemi operativi in inglese e quindi per essere eseguito si OS in lingua italiana necessita di un paio di correzioni per quanto riguarda il nome delle eccezioni del firewall in particolare modificare come segue le seguenti righe (come avevo già indicato nel seguente Note e requisiti per l’implementazione di un’infrastruttura VDI):

Riga 377 per OS Inglese: netsh advfirewall firewall set rule group=”remote desktop” new enable=yes 2> $Null > $Null
Riga 377 per OS Italiano: netsh advfirewall firewall set rule group=”desktop remoto” new enable=yes 2> $Null > $Null

Riga 394 per OS Inglese: netsh advfirewall firewall set rule group=”remote service management” new enable=yes 2> $Null > $Null
Riga 394 per OS Italiano: netsh advfirewall firewall set rule group=”gestione remota servizi” new enable=yes 2> $Null > $Null

Si ricordi che per eseguire lo script convien autenticarsi alla VM come amministratore di dominio ricordando di eseguire prima il comando Set-ExecutionPolicy remotesigned –force.