VMware Horizon Connection server

VMware Connection server — центральный сервер, который управляет всей инфраструктурой виртуальных рабочих станций VDI и RDSH, а так же является связующим звеном между серверными компонентами VMware Horizon и VMware vSphere. Процесс инсталляции Connection server не представлял бы большой сложности, если бы была автоматизирована установка SSL сертификата. Но почему-то VMware от версии к версии эту простую, на взгляд обывателя, штуку не автоматизируют. Напротив, зная о сложности установки SSL сертификата, теперь во время работы с Horizon можно игнорировать его отсутствие и пользоваться самовыпущенным. Пользователю домена, который будет подключаться к Connection server с таким сертификатом, придется согласиться с предупреждением о небезопасном соединении, но само соединение состоится.

В этой статье, будет показан один из путей выпуска и привязки SSL сертификата к Connection server, подписанного доменным CA. В официальной документации по Horizon 7 описан другой путь, почти полностью ручной, где запрос на сертификат составляется в текстовом редакторе по шаблону, такого хардкора я еще не встречал.

Установка VMware Horizon Connection server:

1 — Вводим сервер в домен itsave.local, присваиваем имя connection.itsave.local, отключаем firewall и усиленный режим безопасности для IE

2 — Для работы Flash в IE необходимо установить фичу Desktop Experience, это делается через стандартный мастер добавления ролей. После установки нужно перезагрузиться

3 — 6 Теперь можно приступать к установке Connection server. Мастер просит назначить статический IP адрес, для продолжения установки, что и было сделано. Устанавливать будем Horizon 7 Standard server с поддержкой HTML доступа. Остальные версии требуются для других целей, о них будет рассказано в статьях про удаленный доступ и кластеризацию VMware Horizon.

7  — 11 Следуем простому мастеру установки. После установки видим ярлык на рабочем столе, который ведет на веб страницу https://localhost/admin   Но данная страница не открывается…

12 — 13 Чтобы попасть в консоль управления нужно вместо localhost указать FQDN имя сервера полное или короткое. В нашем случае https://connection/admin. На открывшейся странице вводим доменные логин пароль, под которыми проходила инсталляция.

14 — 16 Первым делом требуется ввести ключ продукта.

17 — 19 На странице Dashboard видим предупреждения отмеченные красным. Они сообщают об установленном самоподписанном сертификате SSL. Тут же можно получить больше информации, перейдя на официальный сайт с документацией. Из нее можно узнать, что VMware Horizon Connection server использует установленный в персональное хранилище компьютера SSL сертификат, у которого Friendly name = vdm

20 — 26 Проверяем, на всякий случай, какой сертификат установлен в данный момент. Для этого открываем консоль командой mmc, добавляем оснастку сертификатов для локального компьютера. Видим в разделе персональных сертификатов один самоподписанный сертификат с friendly name = vdm. Наша задача его заменить на правильный.

27 — 29 Один из способов выпустить правильный сертификат, подписанный доменным CA, заключается в создании подходящего шаблона для выпуска сертификата на центральном сервере сертификации, который будет использован для запроса и выпуска сертификата непосредственно с сервера Horizon Connection.
Для реализации данного плана переходим на сервер CA, открываем консоль управления Certification  Authority. Там переходим в раздел управления шаблонами, здесь нужен шаблон от Web Server. Его нужно дублировать.

30 — 38 Новому шаблону задаем имя, ставим необходимые галочки. В закладке безопасность необходимо дать права учетной записи компьютера Connection.itsave.local на использование данного шаблона.

39 — 41 Затем нужно этот шаблон добавить к опубликованным.

42 — 43 Возвращаемся на Connection server, где открыта консоль управления сертификатами и запускаем мастер запроса сертификата.

44 — 50 Некоторые параметры, нужно указать вручную. А именно, Subject name — FQDN имя сервера. Alternative name — дополнительные имена, по которым может идти обращение к данному серверу, например короткое имя, без доменного суффикса. Также в соответствующей закладке прописываем friendly name = vdm. Завершаем выпуск сертификата.

51 — 52  Теперь нужно изменить friendly name для самоподписанного сертификата. Меняем на любое отличное от vdm. Можно сертификат удалить.

53 — 56 Для применения сертификата, можно перезагрузить сервер или две службы.

57 — 58 Удостоверимся, что сертификат применился, а ошибка в консоли управления пропала, сменила цвет на зеленый.

59 — 64 Можно продолжить базовую настройку Connection server и добавить сервер управления vCenter. Во время добавления через мастер, на вопрос про Composer server отвечаем отрицательно, т.к. он пока не настроен, его можно будет настроить позже. Если на vCenter server сертификат SSL не был заменен на подписанный доменным CA, то можно один раз согласиться с предупреждением безопасности о том, что сервер Composer не доверяет сертификату vCenter.

1

vmware-horiozon-connection-001

2

vmware-horiozon-connection-002

3

vmware-horiozon-connection-003

4

vmware-horiozon-connection-004

5

vmware-horiozon-connection-005

6

vmware-horiozon-connection-006

7

vmware-horiozon-connection-007

8

vmware-horiozon-connection-008

9

vmware-horiozon-connection-009

10

vmware-horiozon-connection-010

11

vmware-horiozon-connection-011

12

vmware-horiozon-connection-012

13

vmware-horiozon-connection-013

14

vmware-horiozon-connection-014

15

vmware-horiozon-connection-015

16

vmware-horiozon-connection-016

17

vmware-horiozon-connection-017

18

vmware-horiozon-connection-018

19

vmware-horiozon-connection-019

20

vmware-horiozon-connection-020

21

vmware-horiozon-connection-021

22

vmware-horiozon-connection-022

23

vmware-horiozon-connection-023

24

vmware-horiozon-connection-024

25

vmware-horiozon-connection-025

26

vmware-horiozon-connection-026

27

vmware-horiozon-connection-027

28

vmware-horiozon-connection-028

29

vmware-horiozon-connection-029

30

vmware-horiozon-connection-030

31

vmware-horiozon-connection-031

32

vmware-horiozon-connection-032

33

vmware-horiozon-connection-033

34

vmware-horiozon-connection-034

35

vmware-horiozon-connection-035

36

vmware-horiozon-connection-036

37

vmware-horiozon-connection-037

38

vmware-horiozon-connection-038

39

vmware-horiozon-connection-039

40

vmware-horiozon-connection-040

41

vmware-horiozon-connection-041

42

vmware-horiozon-connection-042

43

vmware-horiozon-connection-043

44

vmware-horiozon-connection-044

45

vmware-horiozon-connection-045

46

vmware-horiozon-connection-046

47

vmware-horiozon-connection-047

48

vmware-horiozon-connection-048

49

vmware-horiozon-connection-049

50

vmware-horiozon-connection-050

51

vmware-horiozon-connection-051

52

vmware-horiozon-connection-052

53

vmware-horiozon-connection-053

54

vmware-horiozon-connection-054

55

vmware-horiozon-connection-055

56

vmware-horiozon-connection-056

57

vmware-horiozon-connection-057

58

vmware-horiozon-connection-058

59

vmware-horiozon-connection-059

60

vmware-horiozon-connection-060

61

vmware-horiozon-connection-061

62

vmware-horiozon-connection-062

63

vmware-horiozon-connection-063

64

vmware-horiozon-connection-064