NOTE DE SYNTHESE Virtualisation de postes utilisateurs Vincent QUENEL M326070987 1
I Sommaire I Sommaire p. 2 II Présentation p. 3 III Situation Actuelle p. 4 IV Problèmes p. 5 V Solution p. 6 VI Hyper-V p. 7 1) Fonctionnement p. 7 2) Avantages p. 7 3) Inconvénients p. 7 4) Problèmes rencontrés p. 8 5) Décision p. 8 VII ESXi p. 9 1) Fonctionnement p. 9 2) Avantages p. 9 3) Inconvénients p. 9 4) Problèmes rencontrés p. 10 5) Décision p. 10 2
II Présentation de la société Situé à l'ouest de Paris (55 km), RDSL est «l'une des premières sociétés françaises indépendantes de Routage et Logistique». RDSL offre une gamme complète de services, depuis la personnalisation jusqu'au routage de documents de Gestion, de Presse et de Publicité Directe (Marketing Direct), en passant par la Logistique de stockage, kitage, fulfilment de produits divers. RDSL met à disposition une solide expertise de 30 ans acquise sur l'ensemble de la chaîne des prestations et métiers qui composent la Logistique de la Relation Client. RDSL intègre et maîtrise sur le même site, les métiers suivants : - Traitements informatiques - Éditique / Personnalisation (laser noir & couleur jet d'encre) - Façonnage - Mise sous enveloppe - Mise sous film - Colisage Préparation de commandes Fulfilment - Expéditions (Postales, Express, Aériennes, Messageries) - Stockage Manutention & Transport RDSL est une S.A.S. au capital de 1 646 100. Créée en 1984, la société compte aujourd'hui 200 salariés et 26 postes informatiques sur un même site. 3
III Situation actuelle 1 Schéma 2 description Les utilisateurs des postes informatiques sont les administrateurs de leur propre poste, ils le gèrent comme ils le souhaitent et installent les logiciels qu'ils veulent. Les données clients sont sauvegardées manuellement par les utilisateurs sur un serveur FTP. Certains postes ne se trouvent pas dans le bâtiment principal mais dans des entrepôts éloignés. Le parc est hétérogène, aussi bien au niveau matériel que logiciel. Les postes de la direction sont sous Windows 7, les autres sont sous Windows XP. Certains postes situés dans les entrepôts utilisent encore Windows 2000. Les logiciels de messageries et les navigateurs web changent d'un poste à l'autre. 4
IV Problèmes Laisser un utilisateur être l'administrateur de son poste peut poser un problème de sécurité. Il peut récupérer des logiciels ou des documents infectés ou modifier les paramètres de son poste. Comment restreindre les droits utilisateurs? Les données importantes sont sauvegardées manuellement par les utilisateurs sur un serveur FTP, il n'y a pas de redondances et certains utilisateurs ne maîtrisent pas entièrement le processus. Comment avoir un système de sauvegarde des données efficaces? Certains postes sont dans des bâtiments éloignés et difficile d'accès. Des camions circulent entre les entrepôts. Cela peut être dangereux et pénible de faire des voyages d'un bâtiment à un autre. Comment résoudre les problèmes logiciels à distance tout en ayant le moins d impact possible sur la productivité de l'utilisateur? Microsoft ne supporte plus Windows 2000 depuis le mois de juillet 2010, les ordinateurs utilisant encore ce système d'exploitation ne recevront plus de mise à jour de sécurité. Mais ces postes n'ont pas la configuration matérielle requise pour héberger Windows Vista ou Windows 7. Une migration vers Windows XP ne serait qu'une solution temporaire car Microsoft devrait également arrêter le support de ce système prochainement. Comment utiliser un système d'exploitation récent sur un poste qui ne dispose pas des ressources matérielles nécessaires? Utiliser des logiciels différents d'un poste à l'autre est une source d'incompatibilité. Si un utilisateur envoie un document rédigé avec Open Office à un autre utilisateur qui utilise Microsoft Office, celui-ci ne pourra pas lire ce document. Le technicien informatique doit également faire un effort pour s'adapter aux logiciels de chacun des utilisateurs. Comment être sûr que tous les utilisateurs ont les mêmes logiciels sur leur poste? 5
V Solution Pour résoudre tous ces problèmes, l'administrateur souhaite virtualiser les postes utilisateurs. Le but est de créer une machine virtuelle par service. Il y aura une machine pour la Direction, une pour la comptabilité et une troisième pour les autres. Quand un utilisateur démarrera son poste, il sera invité à saisir ses identifiants et en fonction de son identité, il sera redirigé vers sa machine virtuelle, peu importe le poste physique utilisé. Le risque de perte de données est alors considérablement réduit car il est facile de cloner, sauvegarder et restaurer une machine virtuelle. Tous les utilisateurs auront les mêmes logiciels de base à disposition. Ils ne seront pas administrateur de leur machine donc ils ne pourront pas installer de logiciels. Les postes utilisateurs seront remplacés par des clients légers, les programmes seront exécutés sur les serveurs. Les techniciens informatiques pourront basculer les utilisateurs sur une autre machine de façon transparente afin d'effectuer une maintenance sur la première. L administrateur réseau souhaite également virtualiser un système d exploitation Ubuntu Linux pour les postes utilisé seulement pour aller sur internet et recevoir des mails. Les systèmes de virtualisation retenus sont View de VMware et Hyper-V de Microsoft. 6
VI Prérequis 1) Active Directory Les 2 solutions ont besoin d'une Active Directory. La société n'en disposant pas, nous en avons installé une. La gestion des mot de passe sur Active Directory est stricte, par défaut il faut des lettre en majuscule et en minuscule, des chiffres et l'ensemble doit faire au moins 7 caractères. Nous avons allégé ces critères : 7
Nous créons ensuite quelques comptes de test. 2) DHCP Nous en profitons pour migrer les serveurs DHCP et DNS sur ce serveur Windows 2008, anciennement installés sur un serveur Linux. Comme pour l'active Directory, on Active ces rôles dans la gestion du serveur. Nous créons une plage d'adresse sur le serveur DHCP réservée aux postes clients : Les adresses de 192.168.1.1 à 192.168.1.127 sont réservées aux serveurs et aux imprimantes réseaux et sont attribuées manuellement. Les adresses de 192.168.1.128 à 192.168.1.254 sont attribuées par le serveur DHCP aux postes utilisateurs. 8
3) DNS La configuration du serveur DNS a été rapide, nous avons simplement ajouté les serveurs DNS du fournisseur d'accès afin qu'il puisse chercher les noms de domaines qu'il ne connaît pas. Nous avons également ajouté un nom de domaine statique qui correspond à un serveur web intranet. 9
VII Fonctionnement Tous les systèmes de virtualisation de postes utilisateurs fonctionnement de la même manière. L'utilisateur se connecte à partir de son poste utilisateur ou de son client léger au serveur de connexion. Ce serveur permet aux utilisateurs de s'identifier et de lister les machines virtuelles appartenant à ce compte. Le second serveur est une passerelle, elle relie le serveur de connexion au serveur hébergeant les machines virtuelles. Elle permet d'établir des connexions RDP avec le serveur hébergeant les machines virtuelles. Sur la solution de Microsoft, elle joue également le rôle de pare-feu. Le dernier serveur héberge les machines virtuelles. Il doit avoir un processeur supportant le bit de virtualisation pour pouvoir héberger les postes. Sur la solution de Vmware, les prérequis sont plus stricte car ce serveur dispose de son système d'exploitation propre basé sur Linux. Avant d'installer ce serveur, il faut vérifier que le système d'exploitation est compatible avec le modèle du serveur. 10
VIII Hyper-V (Microsoft) Les 2 solutions ont besoin d une Active Directory pour fonctionner, un écosystème Microsoft devrait logiquement être plus simple à mettre en place. Nous avons donc commencé par essayer Hyper-V de Microsoft. 1) Fonctionnement Elles ont un fonctionnement similaire : L utilisateur se connecte au serveur Remote Desktop Connection Broker qui va lister les bureaux et applications virtuels auxquels l utilisateur a accès. La connexion est transférée au serveur Remote Desktop Gateway qui va monter et démarrer son bureau virtuel personnel. Le serveur Hyper-V qui héberge les machines virtuelles. 2) Installation Nous avons déjà un premier serveur Windows Server 2008 R2 avec Active Directory, un serveur DNS et un serveur DHCP. Le second serveur est également sous Windows Server 2008 R2 et est dédié à l'hébergement de machine Nous commençons par installer les différents rôles sur le premier serveur : Service de bureaux à distance, Service Broker et Serveur Web (IIS). Sur le service Broker, on indique le nom NETBIOS du serveur Hyper-V. 11
Les postes utilisateurs sous Windows XP ne peuvent pas utiliser le client «classique», ils doivent passer par l'interface Web. Pour pouvoir se connecter sur l'interface web, il faut installer un certificat sur chaque poste utilisateur. On installe le Service de Certificats puis on génère un certificat : On sélectionne ensuite ce certificat dans le service RemoteApp comme certificat de confiance qui sera ensuite utilisé sur les postes utilisateurs XP. Chaque poste utilisateur va sur le serveur Web et rempli un formulaire afin d'installer un certificat qui va leur permettre de s identifier sur l'interface Web du Service Broker. Enfin, on créé des machines virtuelles Windows sur le serveur Hyper-V. 12
2) Avantages Tous les serveurs peuvent être hébergés sur la même machine. La connexion entre les serveurs est simple à mettre en place. Les utilisateurs peuvent exécuter une application virtuelle sans avoir à se connecter à leur machine virtuelle. Si la machine virtuelle de l utilisateur est éteinte, elle est démarrée à sa connexion. 3) Inconvénients La configuration des clients est complexe et nécessite l intervention d un technicien sur chaque poste. L utilisateur doit s identifier 3 fois avant d arriver sur son bureau virtuel. Une machine virtuelle ne peut être associée qu à un utilisateur, il faut donc une machine virtuelle par utilisateur. Les machines virtuelles Linux ne sont pas supportées en dehors de Suse. 13
4) Problèmes rencontrés La connexion des différents serveurs s est faite sans problème, la partie qui a été la plus difficile est la connexion des clients et plus particulièrement avec les postes sous Windows XP. Le client RDP (Bureau à distance) de Windows XP ne peut pas utiliser directement le bureau virtuel personnel, il doit passer par une interface Web (serveur Remote Desktop Web Access) qui remplace le Remote Desktop Connection Broker. Le premier obstacle a été la connexion à l interface Web qui nécessite un certificat, sans quoi l utilisateur ne peut pas se connecter. Il faut donc générer un certificat spécifique à chaque client à l aide d un formulaire qui se trouve sur un autre site hébergé sur le Connection Broker. Une fois connecté à l interface Web, Le client RDP refusait de se connecter au bureau virtuel personnel car la passerelle tente de le rediriger vers un autre poste et le vois comme une menace. Or c est exactement le rôle de la passerelle. Après plusieurs recherches, il semble que ce problème est corrigé dans les versions plus récentes du client RDP. Une mise à jour du client a corrigé le problème. Un autre détail, qui est plus une gêne qu un problème : L utilisateur doit s authentifier 4 fois avant d arriver à son bureau virtuel : Au démarrage de son poste utilisateur Windows (machine physique) A la connexion à l interface Web (seulement pour les clients Windows XP) A la passerelle (Gateway) A son bureau virtuel Nous avons installé Windows SSO (Single Sign On) qui permet d utiliser les automatiquement les identifiants au démarrage du poste sur les différents services Microsoft, mais ça n a fait que retirer l identifiant à la passerelle. 5) Décision L administrateur réseau n a pas retenu cette solution, la faute en revient presque entièrement aux multiples identifications nécessaires avant d arriver sur un bureau virtuel personnel. L administrateur voulait également des bureaux virtuels sous Linux, mais les connexions se font en RDP (Bureau distant) qui est une technologie exclusive à Microsoft et ses partenaires. La seule distribution Linux supportant le RDP est Suse car la société a un partenariat avec Microsoft. 14
IX View (VMware) Les inconvénients d Hyper-V étant trop importants, nous avons donc essayé la solution de VMware. 1) Fonctionnement La solution de VMware a un fonctionnement similaire à Hyper-V, on retrouve le même principe avec des noms différents : L utilisateur d identifie sur le Connection Server vcenter Orchestrator va transférer l utilisateur à sa machine virtuelle ESXi est le serveur qui héberge les machines virtuelles 2) Installation L'administrateur réseau a installé le Connection Server, il n'a pas noté de difficulté particulière. Le plus complexe a été la configuration du vcenter Orchestrator. Après son installation sur un serveur Windows 2008 R2, on se rend sur le site qui permet de configurer Orchestrator. La première page permet de configurer les ports de chaque service. 15
La seconde sert à configurer la connexion entre Orchestrator et l'active Directory. Les utilisateurs autorisés à se connecter à un poste virtuel VMware doivent être déplacés dans une Unité d'organisation spécifique à Vmware. 16
La dernière étape de la configuration consiste à établir la liaison entre Orchestrator et une base de données SQL Server. Cette partie était plus difficile car SQL Server n'a pas de port par défaut et celui utilisé n'est pas indiqué lors de l'installation. Il faut aller dans le gestionnaire de processus, noter le PID de sqlserver.exe et trouvé le port associé à l'aide de la commande DOS netstat. 2) Avantages Une machine virtuelle peut être associée à plusieurs utilisateurs. ESXi supporte les machines virtuelles Linux. La configuration et la connexion des clients est simple mais 3) Inconvénients L interconnexion des serveurs est plus complexe que sur Hyper-V. Les 3 serveurs principaux ne peuvent pas être installés sur la même machine physique Les machines virtuelles Linux ne peuvent pas être utilisées en tant que bureau virtuel personnel. 17
4) Problèmes rencontrés A l inverse d Hyper-V, la configuration des postes utilisateurs est simplifiée puisqu il suffit d installer le client vsphere. Mais la connexion des différents serveurs a été difficile, notamment entre Orchestrator et les serveurs Microsoft qu il requiert, à savoir Active Directory et SQL Server. La configuration de la connexion entre Orchestrator et Active Directory se fait manuellement, il faut indiquer à Orchestrator dans quelles unités d organisation se trouvent les utilisateurs, les administrateurs, les postes physiques et les bureaux virtuels. Celle d Orchestrator et SQL Server a également été difficile, car le port d écoute de SQL Server est déterminé aléatoirement à l installation. Il a donc fallut lister les processus en fonctionnement sur le serveur Windows 2008 et affiché les ports correspondants. L ensemble des serveurs VMware requièrent chacun une machine dédiée. L ESXi, qui héberge les machines virtuelles, est un système d exploitation complet basé sur Linux. Il monopolise donc à lui seul une machine qui doit en plus est certifié compatible par VMware. Connection Server et Orchestrator ne doivent pas être installés sur le même serveur, lorsqu on essaye d installer le second sur le même serveur que le premier, il le repère et affiche un message d erreur. Nous n avions pas assez de serveurs disponibles pour installer tous ces composants. Nous avons été obligés d installer le Connection Serveur sur une machine virtuelle hébergée sur Hyper-V. ESXi supporte bien les machines virtuelles tournant sur la plupart des distributions Linux. Mais comme sur Hyper-V, la seule distribution Linux supportant les connexions en bureau virtuel personnel est Suse. Par défaut, sur l'esxi il n'est pas possible de créer une pool de machines virtuelles si Orchestrator est installé sur un Windows Server français. L'ESXi utilise le compte Administrator qui sur un Windows français s'appelle Administrateur. Pour corriger ce problème, il faut modifier le service Vmware Universal File Access sur Windows Server et spécifier manuellement le compte Administrateur. 18
Un autre problème est apparu lors des tests effectué peu avant la fin du stage. Sur certains postes l affichage était moins fluide que sur d autre, dans certains cas on observait un taux de rafraîchissement d une image par seconde. Nous n avons pas trouvé de point commun permettant de déterminer la source du problème. Sur un client disposant d une carte graphique dédié et d une carte réseau synchronisée en gigabit l affichage saccade, alors que sur un ordinateur portable synchronisé en 100Mbps l affichage était normal. 5) Décision Même si la solution VMware a quelques défauts qui nous empêchent de répondre à tous les critères de départ, elle semble tout de même envisageable. VMware View sera déployé seulement si aucune autre solution répondant mieux au cahier des charges n est trouvée et si le problème d affichage est corrigé. 19
X Aujourd'hui Entre les derniers tests sur le système de Vmware et aujourd'hui, une autre solution a été envisagée. Il s'agit de LibVirt, un équivalent libre et gratuit d'esxi et d'hyper-v. LibVirt semblait intéressant au premier abord car il supporte différents formats de machines virtuelles : Celles de Vmware et Hyper-V mais aussi Virtualbox et Qemu. Mais cette solution est restée au stade d'idée car elle ne peut pas être utilisée avec des clients légers et la mise en place semblait plus complexe que celle de Vmware. C'est finalement la solution Vmware qui a été sélectionnée. Elle a été déployée et est actuellement utilisée sur 10 postes utilisateurs avec des clients légers. 20