Motiv Secure Desktop
Transcript of Motiv Secure Desktop
10
Motiv Secure Desktop
Afstudeerscriptie
Gino Manuel
October 13, 2010 Samenvatting
2 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Betrokkenen
Auteur Gino Manuel 0785017
Opdrachtgever Motiv IT Masters Poortdijk 13 3402 BM, IJsselstein
Bedrijfsbegeleider Sander Zumbrink
Onderwijs instelling Hogeschool Rotterdam
Instituut Communicatie, Media en Technologie(CMI)
Opleiding Hogere Informatica
Afstudeercoördinator A. van Raamt
Examinator H. Bezemer
Assessor B. Eleveld
Versie beheer
Versie Status Datum Wijziging
0.1 Concept 4-09-2010 Opzet structuur
0.2 Concept 1-10-2010 Pre-concept
0.3 Concept 7-10-2010 Eerste concept
0.4 Concept 10-10-2010 Kleine inhoud wijzigingen
0.5 Concept 13-10-2010 Grammatica controle
1.0 Definitief 14-10-2010 Definitief
Distributie lijst
Versie Datum Ontvanger(s)
0.2 1-10-2010 Sander Zumbrink , H. Bezemer
0.3 7-10-2010 Sander Zumbrink
0.4 10-10-2010 H. Bezemer
0.4 11-10-2010 Sander Zumbrink
0.5 13-10-2010 Sander Zumbrink
1.0 14-10-2010 Sander Zumbrink , H. Bezemer, B Eleveld
October 13, 2010 Samenvatting
3 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
SAMENVATTING
Het doel van de afstudeeropdracht is om een desktop omgeving te creëren die dusdanig
gestandaardiseerd moet zijn dat het de efficiëntie en flexibiliteit van de eindgebruikers moet
bevorderen. Daarnaast moet de desktop omgeving ook eenvoudig te beheren zijn. Het moet
een omgeving worden waarbij de medewerkers te allen tijden, op dezelfde eenduidige
manier te werk kunnen gaan ongeacht hun locatie. Het moet niet uitmaken van waar de
gebruiker werkt, als deze maar op een eenvoudige en veilige manier toegang heeft tot
relevante bedrijfsinformatie.
Vrij snel is het idee ontstaan om een virtuele desktop omgeving te creëren om aan
bovenstaande eisen en wensen te kunnen voldoen.
Allereerst is er onderzoek verricht naar desktopvirtualisatie. Het was een algemeen
onderzoek om inzicht te krijgen in de mogelijkheden van desktopvirtualisatie. Daaruit bleek
dat Remote Desktop Services (RDS voor heen Terminal Services) en Virtual Desktop
Infrastructuur (VDI) de twee meest adequate oplossing waren. Het zijn allebei server-based
vormen van desktopvirtualisatie. Vervolgens is er een onderzoek verricht naar de
technologie van Microsoft en VMware als de twee grootste software leverancier op het
gebied van desktopvirtualisatie. Aansluitend is er voor de Microsoft technologie een Proof-of-
Concept uitgevoerd.
Aan de hand van de onderzoeks- en test resultaten is er een technisch ontwerp gemaakt. De
voorgestelde oplossing is echter gebaseerd op DirectAccess maar wordt wel aangevuld
(voor de kleine groep gebruikers zonder een laptop) met desktopvirtualisatie. DirectAccess
biedt dezelfde mogelijkheden als desktopvirtualisatie, maar dan zonder al te hoge
investeringen. Medewerkers kunnen op een eenvoudige en transparante manier vanaf elke
willekeurige locatie werken (met alle bedrijfsinformatie tot hun beschikking).
Er is echter ook gebleken dat het niet reëel was om de voorgestelde oplossing daadwerkelijk
te realiseren binnen deze afstudeeropdracht. De oplossing is uiteindelijk opgedeeld in drie
stappen. De eerste stap is uitgevoerd (geïmplementeerd). Daarnaast is er een plan
opgesteld om de overige stappen uit te voeren.
Om tot een compleet geoptimaliseerde desktop omgeving te komen moet Motiv nog de
volgende onderdelen uitvoeren:
Virtualiseren van applicaties;
Clients migreren naar Windows 7;
De overstap maken van IPv4 naar IPv6;
Servers migreren naar Windows 2008 R2;
Deze stappen moeten gepaard gaan met een duidelijk desktop beleid, waarin strategische
keuzes gemaakt worden.
October 13, 2010 Management summary
4 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
MANAGEMENT SUMMARY
The goal of this project was to create a desktop environment that promotes the efficiency and
flexibility of end users . The environment also had to be easily manageable. Employees
should be able to access the workspace at all times regardless of their location. It should not
matter from where the user is trying to access the workspace as long as it is based on a
secure access methodology.
Hence the idea to create a virtual desktop environment.
Firstly, research was done on desktop virtualization. It was basic research to understand the
capabilities of desktop virtualization. It showed that Remote Desktop Services (RDS formerly
known as „Terminal Services‟) and Virtual Desktop Infrastructure (VDI) were the two most
appropriate solutions. They are both server-based forms of desktop virtualization. The
research scope then shifted to the market leaders in area of desktop virtualization. These
where Microsoft and VMware. After this research the Microsoft platform was chosen for a
Proof of Concept implementation.
Based on the research and test results, a technical design has been made. The proposed
solution is based on DirectAccess but also includes (for the small group of users without a
laptop) desktop virtualization. DirectAccess offers the same features as desktop
virtualization, but without any great investment. It gives users the experience of being
seamlessly connected to their corporate network any time and place an internet connection
is available.
The realization was made that during the course of this thesis that it would not be possible to
implement the solution as a whole. Therefore it was eventually divided into three steps. The
first step was realized (implemented). The following plan has been created for the remaining
steps.
To achieve a complete optimized desktop environment, the following task should be
completed:
• Virtualizing the applications;
• Migrate clients to Windows 7;
• Move from IPv4 to IPv6;
• Migrating to Windows Server 2008 R2;
These steps must be accompanied by a clear desktop policy where strategic choices are
made.
October 13, 2010 Management summary
5 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
INHOUDSOPGAVE
1. Inleiding .......................................................................................................................... 7
2. Het bedrijf ....................................................................................................................... 8
2.1. Achtergrond............................................................................................................. 8
2.2. Missie en strategie .................................................................................................. 8
2.3. Organisatie .............................................................................................................. 8
2.4. Begeleiding ............................................................................................................. 9
3. De Opdracht ..................................................................................................................10
3.1. Opdrachtomschrijving .............................................................................................10
3.2. Doelstelling ............................................................................................................10
3.3. Aanpak ...................................................................................................................10
4. Inventarisatie .................................................................................................................12
4.1 Huidige situatie .......................................................................................................12
4.2 Gebruikersgroepen.................................................................................................12
4.3 Gewenste situatie ...................................................................................................13
5. Desktopvirtualisatie .......................................................................................................14
5.1. Wat is desktopvirtualisatie ......................................................................................14
5.2. Vormen van desktopvirtualisatie .............................................................................14
5.2.1. Sessie .............................................................................................................15
5.2.2. VDI ..................................................................................................................15
5.2.3. Blade ...............................................................................................................16
6. Microsoft DesktopVirtualisatie .......................................................................................17
6.1. Algemeen ...............................................................................................................17
6.2. Remote Resktop Services ......................................................................................17
6.2.1. In welke gevallen RDS gebruiken? ..................................................................17
6.2.2. Remote Desktop Services Role Services ........................................................17
6.2.3. Licentieovereenkomst voor RDS .....................................................................18
6.3. Virtual Desktop Infrastructuur .................................................................................18
6.3.1. VDI scenario‟s .................................................................................................18
6.3.2. Licentieovereenkomst voor VDI .......................................................................18
6.3.3. Microsoft VDI suites ........................................................................................19
6.4. App-V .....................................................................................................................19
6.4.1. Voordelen van applicatievirtualisatie ...............................................................19
6.4.2. Werking van App-V .........................................................................................20
6.5. User-State ..............................................................................................................20
6.6. Server-based desktopvirtualisatie architecture .......................................................21
6.7. DirectAccess ..........................................................................................................21
6.7.1. Wat doet DirectAccess ....................................................................................21
6.7.2. Onderliggende techniek van DirectAccess ......................................................21
6.7.3. Voordelen en eisen .........................................................................................22
7. VMware Desktopvirtualisatie .........................................................................................23
7.1. Algemeen ...............................................................................................................23
7.2. De architecture .......................................................................................................23
7.3. Licentie ...................................................................................................................25
October 13, 2010 Inleiding
6 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
8. Proof-of-Concept ...........................................................................................................26
8.1. Doel .......................................................................................................................26
8.2. Opstelling ...............................................................................................................26
8.3. Bevindingen ...........................................................................................................27
9. Oplossing ......................................................................................................................28
9.1. Voorgestelde oplossing ..........................................................................................28
9.2 Componenten .........................................................................................................28
9.3 Fasering .................................................................................................................30
10. Implementatie ................................................................................................................32
10.1. Ontwerp .................................................................................................................32
10.2. Componenten .........................................................................................................32
10.3. Toegevoegde waarde .............................................................................................33
11. Conclusie en discussie ..................................................................................................34
11.1 Conclusie ...............................................................................................................34
11.2 Discussie ................................................................................................................34
Verklarende woordenlijst ......................................................................................................36
Bronnen ...............................................................................................................................38
Boeken .............................................................................................................................38
Internet pagina‟s ...............................................................................................................38
Artikelen ............................................................................................................................38
Bijlagen ................................................................................................................................39
Bijlage I: Vergelijking gebruikers groepen .............................................................................40
Bijlage II: Vergelijking tabel werkvormen ..............................................................................41
Bijlage III: VDI vergelijkingsschema ......................................................................................42
October 13, 2010 Inleiding
7 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
1. INLEIDING
In dit verslag staat de manier waarop de eindgebruikers van Motiv nu en in de nabije
toekomst gaan werken met centraal opgestelde voorzieningen. De nadruk ligt hier bij de
desktopomgeving.
Dit verslag is tot stand gekomen naar onderzoek te hebben verricht naar enkele manieren
die er zijn om de desktopomgeving te virtualiseren.
Het doel van dit verslag is vooral om de lezer een inzicht te geven in het verloop van het
afstudeertraject. Tevens zijn de resultaten van het onderzoek naar desktopvirtualisatie in het
verslag verwerkt. Ook is het de bedoeling om de lezer een idee te geven van wat er komt
kijken bij het creëren van een geoptimaliseerde werkplek.
October 13, 2010 Het bedrijf
8 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
2. HET BEDRIJF
Dit hoofdstuk beschrijft het bedrijf waar de afstudeeropdracht uitgevoerd is.
2.1. Achtergrond
De opdracht is uitgevoerd bij Motiv IT-masters BV, kortweg Motiv. Motiv is een dienstver-
lenend bedrijf dat sinds 1998 actief is op de ICT markt. Het is een middelgroot bedrijf met
ongeveer 65 vaste medewerkers waar een informele sfeer heerst met „korte lijnen‟. De
toenmalige oprichters zijn allen nog actief binnen het management team.
Sinds 2001 vormt security de rode draad in de portfolio van Motiv. De focus ligt bij het
beveiligen van enerzijds informatie en bij netwerken anderzijds.
2.2. Missie en strategie
Motiv ziet zichzelf als sparring partner, systems integrator en probleemoplosser voor klanten
die op zoek zijn naar innovatieve ICT oplossingen. Motiv werkt met marktleiders voor
bepaalde beveiligingsmaatregelen zoals: firewalls, spam filtering, sterke authenticatie en
software ontwikkeling tools. Het uitgangspunt is altijd om oplossingen te creëren en niet om
producten van specifieke fabrikant te verkopen.
Hun visie is om dienstenverlening te creëren waarbij advies over IT-security gecombineerd
wordt met praktische technische werkzaamheden en het leveren van bijbehorende
producten.
Motiv ziet security als compleet onderdeel van ICT en onderkent zowel technische als
organisatorische aspecten. Motiv vindt dat bij een passende aanpak security tot verbetering
van de bedrijfsvoering moet leiden in plaats van als belemmering. Motiv ziet het ook als zijn
taak om door middel van passende informatiebeveiliging en/of voorziening een positieve
bijdrage te leveren aan zijn klanten.
2.3. Organisatie
De organisatie bestaat uit drie Business Lines. Dat zijn Applicatie Ontwikkeling, Consultancy
& Services en Projectmanagement. Laatst genoemde stuurt projecten aan die voortkomen
uit de twee andere Business Lines. Verder heeft Motiv, net als meeste bedrijven van deze
omvang, een aantal ondersteunde afdelingen (zie figuur 2-1 voor compleet organogram).
October 13, 2010 De Opdracht
9 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Figuur 2-1: Organogram Motiv.
De Business Line applicatieontwikkeling ontwikkelt informatiesystemen op basis van
Microsoft technologie. Bijvoorbeeld intra- en extranet oplossingen met Microsoft Office
SharePoint technologie en web applicaties in Microsoft.Net.
De Business Line Consultancy & Services is opgedeeld in een groep van Security
Consultants en de afdeling Service Organisatie. De afdeling Service Organisatie bestaat uit
acht medewerkers die netwerkcomponenten beheren voor klanten. Dit gebeurt op basis van
SLA‟s variërend van basis support tot volledig door Motiv beheerde diensten. De Services
Organisatie zorgt ook voor intern beheer.
2.4. Begeleiding
De begeleiding van de afstudeeropdracht is vanuit Motiv gedaan door Sander Zumbrink. Hij
is als coördinator van de Services Organisatie medeverantwoordelijk voor interne IT-
projecten. Hij fungeerde tevens als opdrachtgever. Naast hem volgde Simon van den Bos als
Business Line Manager de ontwikkelingen van de afstudeeropdracht nauwlettend.
October 13, 2010 De Opdracht
10 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
3. DE OPDRACHT
In dit hoofdstuk wordt de afstudeeropdracht beschreven. Allereerst zal de opdracht
omschreven worden. Vervolgens wordt er een opsomming gemaakt van de doelstellingen.
Tot slot wordt de aanpak in vier fases opgedeeld.
3.1. Opdrachtomschrijving
De opdracht houdt in dat er een oplossing gezocht moet worden voor een nieuwe en
efficiënte manier van werken voor de eindgebruikers binnen Motiv. De werkomgeving moet
dusdanig gestandaardiseerd worden dat het tevens eenvoudig te beheren is.
Vanuit die behoeftes is, bij aanvang het project, het idee ontstaan om een virtuele desktop
omgeving te creëren. Een omgeving waarbij de medewerkers te allen tijden, op de zelfde
eenduidige manier te werk kunnen gaan ongeacht hun locatie („anytime, anywhere and on
any device‟).
3.2. Doelstelling
De opdracht heeft een aantal doelstellingen en dat zijn:
Het centraliseren van beheer
Het centraliseren van de desktopomgeving moet leiden tot een meer stabiliteit, snellere
probleemoplossing en minder problemen met de implementatie van software en patches.
Het verbeteren van de efficiëntie en de productiviteit
Effectiever IT-beheer moet voordelen creëren voor de hele organisatie, niet alleen door het
verlagen van de IT-gerelateerde kosten, maar ook door de productiviteit van de gebruikers in
de organisatie te verbeteren.
Het beschikbaar stellen van relevant bedrijfsinformatie
Hier is de uitgangspunt dat gebruikers vanaf elke plaats toegang kunnen hebben tot
bedrijfsinformatie ongeacht hun locatie. Telewerken moet de gebruikers die flexibiliteit geven.
Het veiligstellen van bedrijfkritische informatie
Er moet op rol gebaseerde configuraties geïmplementeerd worden om informatie voor
onbevoegde te ontsluiten.
3.3. Aanpak
Het project is onderverdeeld in vier fases. Binnen elke fase zullen er een aantal activiteiten
plaats vinden.
Eerste fase: Oriëntatie fase
In deze fase wordt het plan van aanpak gemaakt. Ook zal er een inventarisatie gemaakt
worden van de huidige situatie. Verder moet er gekeken worden naar wat de wensen en
October 13, 2010 Inventarisatie
11 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
eisen binnen de interne organisatie. Ook zal er vooronderzoek verricht worden naar
desktopvirtualisatie.
Tweede fase: Onderzoeksfase
In deze fase zal er een diepgaand onderzoek verricht moeten worden naar de
desktopvirtualisatie oplossingen van Microsoft en VMware. Dit om de voor- en nadelen van
beide leveranciers (ten aanzien van desktopvirtualisatie) in kaart te brengen.
Derde fase: Test en Implementatie fase
In deze fase wordt een Proof-of-Concept (PoC) uitgevoerd. In de PoC worden de
mogelijkheden van de desktopvirtualisatie van Microsoft getest. Vervolgens zal er een voor
een nog nader te bepalen oplossing gekozen worden, die dan geïmplementeerd wordt.
Vierde fase: Afrondingfase
In de afrondingsfase wordt de opdracht overgedragen aan de opdrachtgever. Tevens worden
er conclusies ten aanzien van de opdracht getrokken.
October 13, 2010 Inventarisatie
12 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
4. INVENTARISATIE
In dit hoofdstuk wordt de huidige situatie in kaart gebracht. Tijdens deze inventarisatie zijn
een aantal constateringen gedaan die nader uiteengezet worden.
4.1 Huidige situatie
Beheer
Van de 65 medewerkers in dienst bij Motiv, heeft ongeveer 90 procent een laptop van de
zaak. Eén derde daarvan is eigenlijk geen mobiele gebruiker, maar heeft voor het gemak
toch een laptop.
Vanaf het moment dat een gebruiker een laptop krijgt is hij verder zelf verantwoordelijk voor
het beheer er van. De gebruiker is vanaf dat moment lokale administrator en is vrij om te
doen wat hij wil. Dit leidt tot een situatie waarbij de beheerders geen controle hebben over de
werkplekken.
Er is binnen de organisatie geen centraal beheer van werkplekken. Dit leidt ertoe dat de
beheerders enorm veel tijd kwijt zijn met het distribueren van nieuwe applicaties (of versies
ervan).
Manier van werken
Elke medewerker werkt lokaal op zijn computersysteem en heeft een persoonlijke
netwerkdrive waar hij zijn data kan opslaan. Indien een gebruiker op interne servers wilt
werken dient hij opnieuw zijn inloggegevens in te voeren bij het benaderen van de server.
Wat overigens als niet optimaal wordt ervaren.
Telewerken
Telewerken is momenteel mogelijk via de Juniper SA. De SA zorgt voor een SSL verbinding
naar het bedrijfsnetwerk. Dit maakt het mogelijk om vanaf locatie een Terminal Sessie op te
zetten.
4.2 Gebruikersgroepen
Binnen de organisatie is er een verscheidenheid aan type medewerkers. Om een beter beeld
van deze medewerkers te creëren, qua eisen en werkzaamheden, zijn ze onderverdeeld in
vijf groepen. Voor meer informatie zie ook bijlage I.
Mobiele medewerkers
Ze werken regelmatig buiten de deur. Ze willen altijd en overal eenvoudig toegang tot
informatie, middelen en applicaties.
Kantoormedewerkers
October 13, 2010 Desktopvirtualisatie
13 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Ze verzamelen gegevens, verwerken cijfers en werken met veel documenten. Ze hebben
behoefte aan stabiliteit en consistentie. Ze hebben toegang tot de meest recente Office
programma‟s en bedrijfsapplicaties.
Taakgerichte/zware medewerkers
Ze zijn veeleisende gebruikers. Zij maken gebruik van “zware” applicaties. Ze hebben
behoefte aan een functioneel computersysteem (die precies doet wat ze willen dat het doet).
Thuiswerkers
Ze werken regelmatig thuis. Zij hebben vanuit huis op een veilige manier toegang tot het
bedrijfsnetwerk. Ze hebben ook vaak behoefte aan ondersteuning van het bedrijf.
Inhuur medewerkers
Zij zijn ingehuurde medewerkers die tijdelijke of voor een vast gestelde periode toegang
nodig hebben tot bedrijfsinformatie en -middelen.
4.3 Gewenste situatie
De gewenste situatie die hier beschreven wordt, is opgesteld op basis van uitgevoerde
interviews met vijf medewerkers verspreidt over de hele organisatie. Van de algemene
directeur tot de verantwoordelijke voor intern beheer.
Er is behoefte aan een situatie met het juiste evenwicht tussen veiligheid en praktische
werkbaarheid. Als er bijvoorbeeld gekeken wordt naar het telewerken, waar een gebruiker
meerdere malen gevraagd wordt voor het invoeren van zijn inloggegevens, draagt dat niet bij
aan de praktische werkbaarheid. Omgekeerd, als er helemaal niet naar inloggegevens
gevraagd wordt zal dat ten koste gaan van de veiligheid. Single sign-on met two-factor-
authentication is een gewenste oplossing, waarbij een gebruiker eenmaal inlogt met behulp
van een zogeheten “one-time-password” of sms-authenticatie.
Verder is het wenselijk om een situatie te creëren waar de virtuele desktop vanaf iedere
locatie beschikbaar is. Dat houdt in dat het niet uit maakt vanaf waar een gebruiker zich
aanmeldt. De gebruiker moet locatie onafhankelijk toegang krijgen tot het bedrijfsnetwerk.
Ook is het wenselijk dat er een eenvoudige en beheerbare oplossing tot stand wordt
gebracht, waarbij het beheer niet een tijdrovende bezigheid moet zijn.
Aansluitend is er een behoefte aan een situatie waar weinig tot geen lokale resources nodig
is. Door bijvoorbeeld met thin- en zero clients te werken.
Tot slot gaat er een lichte voorkeur naar een Microsoft oplossing vanwege het feit dat Motiv
een gold partner is van Microsoft.
October 13, 2010 Desktopvirtualisatie
14 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
5. DESKTOPVIRTUALISATIE
In dit hoofdstuk worden de resultaten van het onderzoek naar desktopvirtualisatie
weergegeven.
5.1. Wat is desktopvirtualisatie
Met “desktop” wordt meestal het bureaublad van een computersysteem mee bedoeld. In dit
onderzoek wordt de term desktop echter gebruikt voor de totale gebruikers werkomgeving op
een computersysteem. De gebruikers werkomgeving bestaat uit: Een GUI, applicaties, data,
en settings.
Er is sprake van desktopvirtualisatie op het moment dat de desktop van de gebruiker zich
niet direct op de hardware laag van een computersysteem bevindt. Dit kan mogelijk gemaakt
worden door een hypervisor tussen de hardware laag en de OS laag te plaatsen.
Desktopvirtualisatie kan er onder andere voor zorgen dat er meerdere besturingssystemen
op één computersysteem draaien.
5.2. Vormen van desktopvirtualisatie
Desktopvirtualisatie is in twee soorten op te delen, in lokaal (client-based) en centraal
(server-based). Bij lokale desktopvirtualisatie draait de virtuele desktop naast het normale
besturingssysteem op hetzelfde computersysteem. En bij centrale desktopvirtualisatie draait
de desktop op een server die bijvoorbeeld in een data center staat. Vanaf het werkstation
kan er een zogenaamde “remote” verbinding gemaakt worden naar de virtuele desktop
(remote desktop).
In dit onderzoek is er uitsluitend gekeken naar de mogelijkheden en vormen van server-
based desktopvirtualisatie. Er zijn drie vormen van server-based desktopvirtualisatie. Zie
afbeelding 5.1.
5-1: Vormen van desktopvirtualisatie.
October 13, 2010 Desktopvirtualisatie
15 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
5.2.1. Sessie
De eerste en tevens de meest traditionele vorm van server-based desktopvirtualisatie is
sessievirtualisatie. Bij sessievirtualisatie maakt een gebruiker een verbinding naar een
server. De resources op de server worden gedeeld (met andere gebruikers).
Voordelen van Sessievirtualisatie:
Het centraliseren van het beheer van desktops;
Besparing op hardware kosten van werkplekken, door gebruik te maken van thin
clients in plaats van fat clients;
Vermindert veiligheid risico‟s;
Relatief lage kosten per sessie, per gebruiker.
Nadelen van Sessievirtualisatie:
Gebruikers hebben beperkte rechten;
Ondersteuning van software (omdat servers meestal op 64 bit besturingssystemen
draaien).
Dit onderzoek beperkt zich tot Microsoft en VMware. Aangezien VMware geen eigen vorm
van sessievirtualisatie biedt zal de benaming die Microsoft hanteert voor sessievirtualisatie
verder gebruikt worden. Die benaming is Remote Desktop Service (RDS), voorheen bekend
als Terminal Services (TS).
5.2.2. VDI
De volgende vorm van server-hosted desktopvirtualisatie is Virtual Desktop Infrastructure of
kort weg VDI. Bij VDI maakt een gebruiker een verbinding naar een complete virtuele
machine (VM) die op een server draait in de datacenter. In tegenstelling tot RDS krijgt een
gebruiker bij VDI niet alleen een virtuele desktop maar een complete VM tot zijn beschikking
met toegewijde resources. Dat kan een VM vanuit een gedeelde pool zijn of een persoonlijk
toegewezen VM.
Voordelen van VDI:
Besparing op hardware van client mits er gebruik gemaakt wordt van thin clients;
Veilige desktop omgeving in een datacenter;
Biedt vrijheid en flexibiliteit aan gebruikers;
Waarborgt de bedrijfscontinuïteit.
Nadelen van VDI:
Hoge investeringskosten (voor licentie en resources);
Hoge hardware kosten vanwege het geringe aantal gebruikers per server;
Minder eenvoudig te beheren;
October 13, 2010 Microsoft DesktopVirtualisatie
16 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Afspelen van multimedia toepassingen;
Beperkte ondersteuning voor randapparatuur zoals usb, webcam en dergelijke.
5.2.3. Blade
Blade is ook een vorm van server-based desktopvirtualisatie. Het is een in het datacenter
gemonteerd computersysteem zonder scherm, toetsenbord en muis. De Blade wordt op
afstand door de gebruiker via het lokale netwerk benaderd met een thin client. Bij Blade heeft
elke gebruiker de volledige beschikking over zijn „eigen‟ computersysteem. Echter, in plaats
van een opstelling bij de gebruiker zelf is dit computersysteem dus op uiterst compacte wijze
in de datacenter gemonteerd. Daardoor wordt onder andere de veiligheid verhoogd en de
beheersbaarheid verbeterd.
Blade is verder buiten beschouwing gebleven binnen dit onderzoek.
October 13, 2010 Microsoft DesktopVirtualisatie
17 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
6. MICROSOFT DESKTOPVIRTUALISATIE
Dit hoofdstuk belicht de desktopvirtualisatie producten en technologieën van Microsoft.
6.1. Algemeen
Microsoft levert een reeks aan producten die desktopvirtualisatie mogelijk maken. De
virtualisatie oplossingen van Microsoft zijn uit te voeren op verschillende lagen van het
computersysteem. Op de OS-, applicatie- en/of data laag. Op de OS-laag wordt het nog
eens verdeeld client-based en server-based.
Remote Desktop Services en Virtual Desktop Infrastructuur zijn allebei vorm van server-
based desktopvirtualisatie (op de OS-laag). Dan is er nog applicatievirtualisatie, dat is
vanzelfsprekend een vorm van virtualisatie op de applicatielaag. Voor virtualisatie op de data
laag heeft Microsoft User-State virtualisatie. Deze vier oplossingen van desktopvirtualisatie
zullen nader toegelicht worden.
6.2. Remote Resktop Services
Remote Desktop Services(RDS), voorheen bekend als Terminal Services, is een server-role
op Windows Server 2008 R2 die gebruikers de mogelijkheid geeft Windows gebaseerde
applicaties op een Remote Desktop Sessie Host server of een compleet Windows desktop te
benaderen. Met Remote Desktop Services kan een gebruiker een RD Session Host server
vanaf het lokale netwerk of vanaf het internet benaderen.
Op het moment dat een gebruiker een applicatie benaderd op het RD Session Host server,
draait de applicatie daadwerkelijk op de server. Het besturingssysteem beheert zo een
sessie transparant en elke gebruiker werkt onafhankelijk van elkaar op de server.
6.2.1. In welke gevallen RDS gebruiken?
Er zijn op voorhand al enkele gevallen waar het gebruik van RDS wenselijk zou zijn. In
situaties waar:
applicaties regelmatig worden bijgewerkt, onregelmatig worden gebruikt of moeilijk te
beheren zijn;
telewerken wenselijk is;
het gebruik van thin clients wenselijk is, een centrale server met RDS is dan
noodzakelijk.
6.2.2. Remote Desktop Services Role Services
Remote Desktop Services is een server role die verscheidene role services bevat. In
Windows Server 2008 R2 bestaat Remote Desktop Services uit de volgende role services:
October 13, 2010 Microsoft DesktopVirtualisatie
18 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
RD Session Host (stelt een server in staat om applicaties of een complete Windows
desktop te hosten);
RD Virtualization Host (stelt een op Hyper-V gebaseerde server instaat om virtuele
machines aan een gebruiker te koppelen);
RD Web Access (geeft een gebruiker webtoegang tot remote desktops en
gepubliceerde applicaties);
RD Gateway (stelt geautoriseerde telewerkers in staat om verbinding te maken met
het interne netwerk vanaf elk willekeurig apparaat);
RD Connection Broker (ondersteunt sessie load-balancing);
RD Licensing (beheert de licenties).
6.2.3. Licentieovereenkomst voor RDS
Naast de standaard server licentie is er ook een Remote Desktop Service Client Access
Licentie (RDS CAL) vereist. Een RDS CAL is noodzakelijk per gebruiker of per apparaat.
6.3. Virtual Desktop Infrastructuur
In tegenstelling tot RDS krijgt een gebruiker bij VDI niet alleen een virtuele desktop, maar
een complete virtuele-machine tot zijn beschikking met toegewijde resources.
6.3.1. VDI scenario‟s
De VDI oplossing kent twee scenario‟s:
1. Persoonlijke virtuele desktop, een persoonsgebonden desktop, die persoonlijk te
configureren is.
2. Virtuele desktop pool, een pool met beschikbaar desktops, gebruikers krijgen een
willekeurig desktop toegewezen. Bij het uitloggen wordt de virtuele machine weer schoon
gemaakt, settings worden niet opgeslagen. Data worden opgeslagen op de share folder
van de gebruiker.
6.3.2. Licentieovereenkomst voor VDI
De licentie vereisten voor VDI zijn wat ingewikkelder dan voor RDS. Sinds juli 2010 heeft
Microsoft een nieuwe licentie beleid ingevoerd, als het gaat om het benaderen van virtuele
desktops. De nadruk wordt gelegd op het apparaat dat de virtuele desktop benadert. Indien
het apparaat onder de Windows Client Software Assurance (SA) Volume License valt, dient
er geen aanvullende Virtual Desktop Access (VDA) licentie aangeschaft te worden. Maar
indien dat niet het geval is (thin clients komen niet in aanmerking voor SA) is de VDA licentie
een noodzakelijke eis om de Windows VDI desktops te benaderen.
Een VDA licentie kan alleen per apparaat afgenomen worden, voor een substantieel bedrag
van $110 per jaar per apparaat.
October 13, 2010 Microsoft DesktopVirtualisatie
19 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
6.3.3. Microsoft VDI suites
Microsoft levert twee suites voor VDI: Microsoft Virtual Desktop Infrastructure Standard Suite (VDI Standard Suite) en Microsoft Virtual Desktop Infrastructure Premium Suite (VDI Premium Suite).
De VDI Standard Suite kost $21 per jaar per apparaat en bestaat uit het volgende:
Hypervisor platform (Hyper-V 2008 R2);
Beheerpakket voor VDI (System Center Virtual Machine Manager 2008);
App-V als onderdeel van de Microsoft Desktop Optimalisatie Pack (MDOP);
Connection-Broker mogelijkheden via Windows Server 2008 R2 RDS.
De VDI Premium Suite kost $53 per jaar per apparaat en bevat naast de technologieën van
de Standaard Suite nog het volgende:
Applicatievirtualisatie special voor RDS;
Complete Remote Desktop Services functionaliteit, dus de mogelijkheid om zowel
een VDI als voor een sessies omgeving te benaderen.
6.4. App-V
APP-V is een tool om applicaties te virtualiseren. Applicatievirtualisatie zorgt ervoor dat
applicaties niet meer fysiek op het besturingssysteem geïnstalleerd dienen te worden. De
gebruiker streamt deze vanaf een centrale server over het internet of gewoon vanaf locatie.
Op een fysiek werkstation is een applicatie altijd afhankelijk van het besturingssysteem
waarop het geïnstalleerd is en van resources, drivers enzovoorts. Het virtualiseren van
applicaties verhelpt dit soort afhankelijkheden. Het koppelt de applicatie los van de hardware
en het besturingssysteem. App-V is onderdeel van het Microsoft Desktop Optimalisatie
Pakket (MDOP).
6.4.1. Voordelen van applicatievirtualisatie
Voordelen van App-V:
Voorkomt onderlinge conflicten tussen applicaties;
Centraliseert het patchen en upgraden van applicaties;
Versnelt het uitrollen van nieuwe applicaties;
Er is geen noodzaak om applicaties vooraf te testen;
Haalt het “beheer” van applicaties van de gebruiker weg (geen reboot nodig, ook
geen uninstall).
October 13, 2010 Microsoft DesktopVirtualisatie
20 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
6.4.2. Werking van App-V
A) Een applicatie wordt gevirtualiseerd met de Application Virtualization Sequencer
(eenmalig);
B) De applicatie wordt op de Application Virtualization Streaming Server opgeslagen
(centraal);
C) De applicatie wordt vanaf de server gestreamd naar de App-V client.
Figuur 6-1: Microsoft Applicatievirtualisatie architectuur
Als de applicatie eenmaal op het werkstation staat is een verbinding met de Streaming
Server niet meer noodzakelijk. De applicatie wordt in de cache opgeslagen en gekoppeld
aan het gebruikersprofiel. Vanuit de Managment Console is het mogelijk om applicaties aan
gebruikers of groepen toe te kennen.
6.5. User-State
Bij User State virtualisatie worden de data en de settings van een gebruiker losgekoppeld
van het werkstation en centraal opgeslagen op een server. Hierdoor kunnen gebruikers op
elk willekeurig werkstation dat aan het netwerk hangt inloggen en hun data en/of settings
meenemen.
Voorbeelden van User State virtualisatie zijn:
Roaming user profile (data en settings zijn centraal opgeslagen op de server, gebruiker kan op elke geconfigureerd client inloggen en krijgt altijd zijn data tot zijn beschikking);
Folder redirection (geeft de mogelijkheid om de locatie van de op te slaan data te veranderen).
October 13, 2010 Microsoft DesktopVirtualisatie
21 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
6.6. Server-based desktopvirtualisatie architecture
Figuur 6-2
6.7. DirectAccess
DirectAccess is weliswaar geen oplossing voor desktopvirtualisatie maar het is een waardige
alternatief/aanvulling voor desktopvirtualisatie. In dit geval voldoet het aan de eisen van het
project, en meer. DirectAccess maakt het mogelijk dat een mobiele gebruiker op een
transparante manier een verbinding kan maken met het bedrijfsnetwerk (vanaf een externe
locatie). De mobiele computers zijn ook eenvoudig te beheren via deze speciaal op gezette
verbinding.
6.7.1. Wat doet DirectAccess
DirectAccess zorgt ervoor dat, op het moment dat een mobiele gebruiker een verbinding met
het internet maakt, er automatisch een IPsec tunnel opgezet wordt naar het bedrijfsnetwerk.
Op het moment dat de DirectAccess client (remote computer) met verbinding krijgt met de
Network Location Server (web server) stelt de client vast of het systeem zich op het internet
of intranet bevindt.
6.7.2. Onderliggende techniek van DirectAccess
Om gegevens veiliger via openbare netwerken te verzenden gebruikt DirectAccess IPv6-
over-IPsec. Dit zorgt ervoor dat gegevens versleuteld over het internet gaan. DirectAccess
kan ook onnodig verkeer op het bedrijfsnetwerk verminderen door alleen gegevens die voor
October 13, 2010 VMware Desktopvirtualisatie
22 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
het bedrijfsnetwerk zijn bestemd, te verzenden via de DirectAccess-server (door split
tunneling). Als split-tunneling uitgezet wordt gaat al het verkeer via het bedrijfsnetwerk
(proxy-server) voordat het, het internet op gaat. Dit is een optie indien split-tunneling
wenselijk is.
Figuur 6-3: Schets van werking DirectAccess
6.7.3. Voordelen en eisen
DirectAccess kent vele voordelen, zoals:
Zorgt voor naadloze verbinding met het interne netwerk ongeacht locatie;
Het biedt een veilige verbinding over het internet (IPsec + IPv6);
Offline user folder(synchroniseert automatische bij verbinding);
Maakt beheer van externe computers eenvoudiger en effectiever.
Eisen die verbonden zijn met het implementeren van DirectAccess:
IP adressering alleen op basis van IPv6;
DirectAccess client draait alleen op Windows 7 Enterprise of Ultimate;
De DA Server heeft minimaal twee netwerk kaarten nodig;
Indien er een firewall voor of achter de DirectAccess Server staat dienen ze het
benodigde verkeer toe te laten.
De eisen die gesteld worden aan IP adressering vormen de grootste belemmering voor het
implementeren van DirectAccess. Het kan nogal een opgave zijn om een netwerk waarin de
servers alleen IPv4 met elkaar “praten” over te zetten naar IPv6.
October 13, 2010 VMware Desktopvirtualisatie
23 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
7. VMWARE DESKTOPVIRTUALISATIE
7.1. Algemeen
VMware heeft een desktopvirtualisatie oplossing genaamd “View”. View is een VDI
oplossing. Op het moment van onderzoek was VMware View 4.0.1 de laatste uitgebrachte
versie (uitgebracht in februari 2010). De nieuwste release van View, 4.5 is al enkele keren
uitgesteld het verhaal doet de ronde dat het op zeer korte termijn uitgebracht wordt. Als er
gekeken wordt naar View 4, is het al de tweede generatie van VDI oplossing van VMware.
Hoewel VMware zelf pas in 2008 met hun eerste VDI oplossing gekomen is, kan er gezegd
worden dat de ontwikkelingen op dit gebied heel snel gaan. In 2009 is VMware een
samenwerking aangegaan met Teradici om een betere kwaliteit van beeld te presenteren
aan de eindgebruikers. Teradici heeft de Remote Display protocol PCoIP ontwikkeld en
VMware View 4 is gebaseerd op dit protocol.
7.2. De architecture
De architectuur van VMware is niet zo complex en theoretisch gezien is het eenvoudig te
implementeren. De VM‟s draaien boven op de VMware vSphere. Daarnaast heeft de View
Manager een centrale rol. Om de Linked-Clone technologie te gebruiken dient de View
Composer op de vCenter Server geïnstalleerd te worden. Voor het virtualiseren van
applicaties heeft VMware ThinApp.
Figuur 7-1
October 13, 2010 VMware Desktopvirtualisatie
24 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
View Manager
De View Manager is één van de belangrijkste componenten van VMware View. Het bestaat
uit verschillende (handige/nuttige) onderdelen:
View Connection Server: Zorgt voor een beveiligt verbinding naar virtuele desktops,
View Agent: Draait op elke virtuele desktop en wordt gebruikt voor onder andere het
beheren van sessies en single sign-on,
View Client: Draait op een computersysteem, dat een Windows system kan zijn of
een thin client, hiermee maakt een gebruiker verbinding met de View Connection
Server,
View Portal: Als alternatief kan een gebruiker via een webbrowser verbinding maken
met de virtuele desktop,
View Administrator: Beschikbaar via de webbrowser en wordt gebruikt door de
beheerder voor het beheren en configureren van de View Manager.
VIEW COMPOSER
Een nogal interessante component in het VMware View
pakket is de View Composer. Hiermee is het mogelijk om
de opslag vereisten voor de virtuele desktop omgeving
significant terug te dringen. Bij het gebruik van de Linked-
Clone technologie wordt er een master (parent) image
gecreëerd. Alle gebruikers werken vanaf die ene image
en alleen die ene master image wordt beheerd
(geupgrade). Om er voor te zorgen dat het mogelijk is dat
een gebruiker de virtuele desktop persoonlijk kan
inrichten is er ook een “user data disk”. Daarop staan de
persoonlijke instellingen en data van een gebruiker. Zoals
hiernaast te zien in figuur 7-2 bestaat een virtuele desktop
bij gebruik van ThinApp uit drie onderdelen: De Parent
Image, de user-data disk en ThinApps.
ThinApp
ThinApp is de applicatievirtualisatie oplossing van VMware. ThinApp is ontwikkeld om het
beheren en distribueren van applicaties te vereenvoudigen en onderlinge conflicten tussen
applicatie te voorkomen.
Figuur 7-2: VMware View Composer.
October 13, 2010 Proof-of-Concept
25 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
7.3. Licentie
Zoals er gezien kon worden, bestaat de VMware View pakket uit diverse componenten. Een
samenstelling van die componenten zorgt ervoor dat er dat er twee pakketten ontstaat:
Enterprise en Premier editie. Zie tabel 7-1 voor een compleet overzicht van beide pakketen
(prijzen zijn per gebruiker).
Enterprise Premier
vSphere 4 (desktop) V V
vCenter 4 (desktop) V V
View Manager 4 V V
View Composer V
ThinApp V
Offline Desktop V
Prijs $ 150 $ 250
Tabel 7-I : VMware View pakket vergelijking.
October 13, 2010 Proof-of-Concept
26 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
8. PROOF-OF-CONCEPT
Dit hoofdstuk beschrijft het doel, de opstelling en bevindingen van de Proof-of-Concept
(PoC). De PoC is binnen het test lab van Motiv uitgevoerd.
8.1. Doel
Het voornaamste doel van de PoC was om de voordelen van desktopvirtualisatie tentoon te
stellen. Daarnaast is er ook gekeken naar:
Voorgeschetste oplossing, of die ook daadwerkelijk functioneert als de fabrikant doet
geloven;
De beheerbaarheid van de omgeving;
De prestaties van een virtuele desktop op een centrale server.
8.2. Opstelling
Voor de uitvoering van de PoC is gebruik gemaakt van twee fysieke servers. Eén met Intel
Virtualization Technology en één zonder. Vanzelfsprekend is de server met de processor die
Hyper-V ondersteunt gebruikt als RD Virtualization Host en de andere als RD Session Host.
Dit aangezien Hyper-V een vereiste is van de RD Virtualization Host role binnen Windows
Server 2008 R2. Op de RDVH draaien 6 servers en 3 clients, zoals te zien op onderstaande
figuur (8-1).
8-1: PoC opstelling.
October 13, 2010 Oplossing
27 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
8.3. Bevindingen
Multifunctionele server
In eerste instantie is er getracht om meerdere componenten van de Remote Desktop Service
op één server te draaien, maar dat bleek niet de juiste oplossing te zijn. Het was geen goed
idee om de RDSH als Domain-Controller en Connection-Broker te gebruiken. Die twee rolen
zijn uiteindelijk op twee aparte VM‟s ondergebracht (op de andere fysieke server).
Prestaties
De algemene prestaties zijn prima, denk hierbij aan het voeren van eenvoudige taken. De
grafisch waren wat minder op moment dat videofragmenten van hoge resoluties afgespeeld
werden (30 frames per seconde of meer).
Beheerbaarheid
Een RD Session Host is simpel weg eenvoudig te beheren. Echter komt er bij het beheren
van een VDI omgeving meer bij kijken. Want de beheerder heeft dan te maken met losse
persoon toegewezen VM‟s die feitelijk op het zelfde wijze beheer dienen te worden als
fysieke werkplekken. Het enige verschil is dat ze nu op één gezamenlijk server staan.
Voor een overzicht van de comptabiliteit test zie bijlage II.
October 13, 2010 Oplossing
28 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
9. OPLOSSING
9.1. Voorgestelde oplossing
In de voorgestelde oplossing speelt DirectAccess een doorslaggevend rol. Zoals eerder
gezegd is DirectAccess weliswaar geen oplossing voor desktopvirtualisatie maar het voldoet
aan de eisen van het project. DirectAccess is pas in beeld gekomen na dat er een gesprek
heeft plaatsgevonden met een Technical Specialist van Microsoft op het gebied van
Windows Client. Die stelde DirectAccess als oplossing voor het telewerken.
9.2 Componenten
De voorgestelde oplossing bestaat uit een aantal componenten die de oplossing tot een
geheel vormt.
Clients
De werkplekken gaan allemaal draaien op Windows 7 (Enterprise). Het is een besturings-
systeem dat meer veiligheid en stabiliteit biedt dan zijn voorgangers. Dit vanwege de zeer
grote aantal beveiligingscomponenten die erin zitten. Verder functioneert het gebruik van
offline files beter in Windows 7. De User-Interface is ook verbeterd, dit draagt er toe bij dat
gebruikers snellere en efficiënter kunnen werken.
Cruciale desktopoptimalisatie features van Windows 7:
DirectAccess (geeft mobiele gebruikers naadloos toegang tot bedrijfsnetwerken
zonder tussen komst van de gebruiker);
BitLocker en BitLocker To Go (beveiligt gegevens op pc‟s en verwisselbare
stations);
AppLocker (software-restrictie op basis van policy);
VDI-optimalisatie (verbetert de gebruikerservaring voor VDI met RDP 7).
Servers
Alle servers gaan over naar de nieuwste server besturingssysteem van Microsoft, Windows
Server 2008 R2. Niet alleen omdat het een vereiste is voor DirectAccess maar ook vanwege
de vele verbeteringen die het besturingssysteem bevat ten opzichte van zijn voorgangers.
Beheer
System Center Configuration Manager 2007 (SCCM) zal dienen voor het beheren van de
werkstations. SCCM biedt een oplossing voor volledige toegang, installatie en het updaten
van servers, clients en apparaten die fysiek, virtueel of in een gedistribueerde of mobiele
omgevingen werken. Het kan Motiv inzicht in en controle over het netwerk geven.
October 13, 2010 Oplossing
29 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
In de “Magic Quadrant for PC Life Cycle Configuration Management, 2009” van Gartner is
Microsoft met SCCM één van de leaders op het gebied van configuratie management. Dit
geeft aan dat het om een zeer degelijk en volwassen product gaat.
SCCM heeft een aantal tools, die voor de volgende oplossingen kan zorgen:
Het distribueren en updaten van applicaties voor desktops, servers, laptops en
mobiele apparaten over het netwerk;
Zorgen dat de netwerkcomponenten voldoen aan de gewenste configuratie
instellingen en het verbeteren van beschikbaarheid van de systemen;
Continu inzicht geven in wat voor hardware en software middelen er gebruikt wordt,
wie er gebruik van maakt en waar ze zijn;
Het distribueren van App-V packages.
Applicaties
Applicaties worden gevirtualiseerd met App-V van Microsoft. Gebruikers krijgen applicaties
vanaf het SCCM toegewezen.
Virtuele desktop
De gebruikers die geen laptop hebben, werken vanaf een thin client. De voordelen van een
thin client zijn ten eerste dat ze in aanschafprijs goedkoper zijn. Ten tweede staat de desktop
op een centrale server die centraal beheert wordt.
Compleet overzicht
9-1: Technische ontwerp.
October 13, 2010 Oplossing
30 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
9.3 Fasering
Optimalisatie vergt aanpassing aan of uitbreiding van het huidige (interne) netwerk
infrastructuur. Voor bijvoorbeeld het implementeren van DirectAccess dient de infrastructuur
op basis van IPv6 te zijn. Voor de VDI-host moet er hardware aangeschaft worden.
Applicaties moeten worden gevirtualiseerd. En de clients moeten gemigreerd worden naar
Windows 7. Dit zijn zaken die niet allemaal direct te realiseren zijn.
From Basic to Dynamic
Voor het maken van een faseringsplan is enigszins gebruik gemaakt van het infrastructuur
optimalisatiemodel (IO-model) van Microsoft. Het IO-model kent vier volwassenheidsfases.
De volwassenheidsfases zijn „Basic‟, „Standardized‟, „Rationalized‟ en „Dynamic‟. Zie
onderstaande figuur (9-2) voor een overzicht van de vier volwassenheidsfases.
Figuur 9-2: Volwassenheidsfases van het Microsoft IO-Model (Bron: Microsoft).
Het uitgangspunt is om een „Basic‟ omgeving dusdanig te optimaliseren dat het door groeit
naar een „Dynamic‟ omgeving. Bij „Dynamic‟ heeft de IT volgens het model een strategische
positie binnen de organisatie. Gebruikers en gegevens zijn geïntegreerd, processen
geautomatiseerd, medewerkers kunnen mobiel werken en de kosten blijven onder controle.
De eerste stap is om de huidige „Basic‟ omgeving te verbeteren dat het over stapt naar een
„Dynamic‟ omgeving.
De fase ‟standardized„ binnen infrastructuur optimalisatie introduceert controles via
standaarden en beleid voor het beheer van desktops en servers:
Een gedeelte van de eindgebruikers zal overstappen naar Windows 7;
De omgeving is eenvoudiger te beheren en te controleren, dit wordt mogelijk gemaakt
door System Center Configuration Manager;
Een (nog te bepalen) aantal applicaties worden gevirtualiseerd;
De RD Web Access server wordt gebruikt voor het benaderen
De waarde van basisstandaarden en –beleid wordt erkend door de organisatie maar
wordt nog niet compleet uitgevoerd.
October 13, 2010 Implementatie
31 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
9-3: Overzicht optimalisatieplan.
October 13, 2010 Implementatie
32 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
10. IMPLEMENTATIE
Dit hoofdstuk beschrijft het implementatieproces, dat als doel heeft om van een Basic
omgeving naar een Standardized omgeving te gaan.
10.1. Ontwerp
Vanwege het feit dat het om een gedeelte van de voorgestelde oplossing gaat, was het
noodzakelijk om een nieuw technisch ontwerp te maken dat alleen de componenten bevat
die daadwerkelijk geïmplementeerd worden. Zie figuur 10-1 voor het ontwerp.
Figuur 10-1: Ontwerp van de eerste fase
10.2. Componenten
Juniper SA
De Juniper SA was bij aanvang niet in het ontwerp maar is door Motiv als noodzakelijk
bevonden. Dit omdat RD Web Access nog geen two-factor-authentication ondersteunt (met
uitzondering van smartcard). Het gaat tegen het interne beleid om een Windows [web]
Server direct aan het internet te “hangen” zonder tussenkomst van een “secure access
controller”.
RD Web Access
De RD Web Access server is opgezet achter de Juniper SA en is via een https verbinding
over het internet benaderbaar. Applicaties die op de Session Host geïnstalleerd zijn vanaf elk
willekeurige locatie te benaderen.
October 13, 2010 Conclusie en discussie
33 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
10.3. Toegevoegde waarde
RD Web Access
Remote Desktop Web Access stelt gebruikers in staat om via RemoteApp (alleen in
Windows 7) of via het web browser bedrijfsapplicaties en Remote Desktop Services op te
starten.
RemoteApp: is een feature die alleen in Windows 7 zit waarmee gebruikers applicaties vanaf
een externe locatie kunnen ophalen via Remote Desktop Services. De applicaties gedragen
zich alsof ze op de lokale computer van gebruiker worden uitgevoerd.
Figuur 10-2: RD Web Access webpagina.
October 13, 2010 Conclusie en discussie
34 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
11. CONCLUSIE EN DISCUSSIE
11.1 Conclusie
VDI is een uitstekende oplossing maar heeft als beperking dat het offline werken nog niet
optimaal is. Het brengt ook enorm hoge kosten met zich mee. Zo moeten er hoge
investeringen gedaan worden in hardware (resource). Er moeten ook nog eens extra
licenties (VDA) aangeschaft worden voor een aanzienlijk bedrag per gebruiker per jaar. Deze
kosten worden pas terugverdiend op het moment dat er een compleet nieuwe applicatie- en
desktopbeleid is.
De huidige vorm van RDS is een prima alternatief voor VDI, maar is niet wenselijk voor
“zware” en veeleisende gebruikers. Aangezien er binnen Motiv een hoog percentage tot die
groep toehoort, is het geen reële oplossing.
DirectAccess biedt dezelfde mogelijkheden als desktopvirtualisatie, maar dan zonder al te
hoge investeringen. Medewerkers kunnen op een eenvoudige en transparante manier vanaf
elk willekeurige locatie werken met alle bedrijfsinformatie tot hun beschikking. Veiligheid
wordt gegarandeerd door IPsec over een IPv6 verbinding in combinatie met een Netwerk
Access Protection. Bij het onderzoek naar de implementatie van DirectAccess, is gebleken
dat het geen eenvoudige opgave is. Er zijn nogal wat aanpassingen die gedaan moeten
worden aan de infrastructuur. Vandaar dat er gekozen is voor een gedeeltelijke oplossing
voor taakgerichte gebruikers en telewerkers(zonder laptop) die met behulp van RDS via RD
Web kunnen telewerken. Het is de eerste stap naar een geoptimaliseerde werkplek.
11.2 Discussie
Zo is gebleken dat desktopvirtualisatie niet de enige oplossing is voor de probleemstelling.
Daarnaast bleek het oplossen van de probleemstelling toch een ingewikkelder opdracht dan
vooraf werd verwacht. Het invoeren van een nieuwe manier van werken voor de gebruikers
en een efficiënter manier van beheer voor de beheerders eist toch meer tijd en
betrokkenheid van alle partijen.
Al met al kan deze afstudeeropdracht gezien worden als de eerste stap van Motiv richting
een dynamische werkomgeving die niet locatiegebonden is.
Het virtualiseren van applicaties speelt een belangrijke rol bij het creëren van een
geoptimaliseerde werkplek omgeving. Bij aanvang van de opdracht was hier geen voldoende
besef van. Het virtualiseren van de applicaties (bij een organisatie) kan op zich zelf een heel
project zijn. Het is weliswaar wel globaal meegenomen in het onderzoek, maar de diepgang
is achterwege gelaten, vanwege tijdgebrek en de omvang.
In dit onderzoek is de focus, na de inventarisatie, te snel gelegd op de mogelijke oplossingen
die er waren, zonder dat het (huidige en toekomstige)desktopbeleid duidelijk is gebracht.
Strategische keuzes zijn achterwege gelaten, terwijl dit zeer essentieel is voor het realiseren
van een geoptimaliseerde desktop omgeving (vooral op lange termijn).
October 13, 2010 Verklarende woordenlijst
35 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Hoe ver is Motiv bereid te gaan met virtualisatie? Dit is één van de strategische vragen die
beantwoord zou moeten worden.
October 13, 2010 Verklarende woordenlijst
36 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
VERKLARENDE WOORDENLIJST
Fat client
Een Fat Cliënt kan elk “normale” computersysteem zijn.
GUI
GUI is een Engelse afkorting voor Graphical User Interface, of grafische gebruikersinterface,
de interface die gebruikt wordt door een gebruiker om programma's te bedienen.
Hypervisior
In de informatica wordt met een hypervisor of virtual machine monitor een opstelling
aangegeven die ertoe dient om meerdere besturingssystemen tegelijkertijd op een host
computer te laten draaien.
Proof-of-Concept
Een Proof-of-Concept (kortweg PoC) is een basisimplementatie om aan te tonen dat een
oplossing(en) in de praktijk werkt.
RDS
Remote Desktop Services (RDS) is een vorm van desktopvirtualisatie, staat ook bekend als
Termical Services. Het is sessievirtualisatie. Bij sessievirtualisatie maakt een gebruiker een
verbinding naar een server. De resources op de server worden gedeeld (met andere
gebruikers).
RDSH
Remote Desktop Session Host (RDSH) is een server die applicaties op complete desktops
host (ook bekend als de Terminal Server). Een client kan zo een host benaderen via Remote
Desktop Connection. Op de RDSH server draait RDS.
RDVH
Remote Desktop Virtualization Host (RDVH) kan dusdanig geconfigureerd worden dat elke
gebruiker een unieke host (complete virtuele machine) op de server toegewezen krijgt. Een
gebruiker kan ook een machine toegewezen krijgen uit een pool van virtuele machines.
RDVH is een server die opgezet is voor het gebruik van VDI (zie uitleg VDI).
Resource
In dit verslag wordt met resources hardware componenten bedoeld zoals harde schijf,
geheugen modules en processoren.
Smartcard
Een smartcard is een plastic kaartje met een computerchip. Men gebruikt een smartcard
samen met pincodes om zich aan te melden op een netwerk, een computer of een apparaat.
Terminal server
October 13, 2010 Bronnen
37 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Een terminal server is een computersysteem waarop meerdere applicaties geïnstalleerd zijn.
Meerdere gebruikers maken gelijktijdig gebruik van dezelfde programma‟s die op een
terminal server zijn geïnstalleerd. Met een gewoon computersysteem of zogenaamde thin
client kan men verbinding maken met een terminal server. Dit kan zowel via het lokale
netwerk als via internet.
Thin Client
Een thin client is een computersysteem dat zelf over zeer weinig bronnen (resource) beschikt
en zeer sterk afhankelijk is van de server, die het verwerken van data voor zijn rekening
neemt.
Two-factor-authentication
Bij two-factor-authenticatie heeft (krijgt) men iets en weet men iets. Het is te vergelijken met
Internet bankieren. Men heeft iets (een pas en een paslezer) en men u weet iets
(wachtwoord).
VDI
Virtual Desktop Infrastructuur (VDI) is een vorm van desktopvirtualisatie. Bij VDI maakt een
gebruiker een verbinding naar een complete virtuele machine (VM) die op een server draait.
Zero Client
Een zero client is een superklein computersysteem, maar dan zonder geheugen, processor,
software en harde schijf. Wat het apparaatje wel heeft, is een netwerkaansluiting, VGA-
uitgang, USB-poort voor een muis en audio-aansluitingen.
October 13, 2010 Bronnen
38 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
BRONNEN
Boeken
Dale Vile, Tony Lock, Martin Atherton en Jon Collins. Desktop Virtualization for Dummies.
Gepubliceerd door John Wiley & Sons, Ltd (2010).
Mitch Tullock with the Microsoft Virtualization Teams. Understanding Microsoft
Virtualization Solution 2: From the Desktop to the Datacenter. Gepubliceerd door
Microsoft Press (2010).
Introducing Windows Server 2008 R2, Charlie Russel and Craig Zacker with the Windows
Server Team at Microsoft. Gepubliceerd door Microsoft Press (2010).
Internet pagina‟s
Microsoft virtualisatieproducten en technologieën. Geraadpleegd in juli 2010,
http://www.microsoft.com/netherlands/virtualisatie/products/desktop/default.mspx
Applicatievirtualisatie. Geraadpleegd in juli 2010.
http://www.microsoft.com/windows/enterprise/products/mdop/app-v.aspx
VMware View 4.0. Geraadpleegd in juli 2010, http://www.vmware.com/products/view/
Over DirectAccess in Winodws Server 2008 R2. Geraadpleegd in augustus 2010,
http://www.microsoft.com/windowsserver2008/en/us/directaccess.aspx
Microsoft infrastructuur optimalisatie model. Geraadpleegd in september 2010,
http://www.microsoft.com/netherlands/partnercms/io/hetmodel/default.aspx
Deploying RDS Web Access and RDS RemoteApp. Geraadpleegd in augustus 2010,
http://www.networkworld.com/community/node/49566
Artikelen
Licensing Windows for Virtual Desktops, Microsoft (2010).
Microsoft Application Virtualization: Cost Reduction Study, Microsoft (2009)
Solving the Desktop Dilemma – with user-centric desktop virtualization for the enterprise,
gepubliceerd door VMware Inc (2010).
VMware View 4: Built for Desktops, VMware Inc (2009).
Optimaliseer uw basisinfrasctuctuur:Dynamische IT voor Het Nieuwe Werken, Microsoft
(2008-2009).
October 13, 2010 Bijlagen
39 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
BIJLAGEN
Bijlage I: Vergelijking gebruikers groepen.
Bijlage II: Vergelijkingstabel werkvormen.
Bijlage III: Vergelijkingsschema Microsoft en VMware.
October 13, 2010 Bijlage I: Vergelijking gebruikers groepen
40 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
BIJLAGE I: VERGELIJKING GEBRUIKERS GROEPEN
Gebruikers
groep
Fle
xib
ilite
it
Ge
bru
ike
rsg
em
ak
Be
schik
baa
rhe
id
Be
veili
gin
g
Offlin
e t
oeg
an
g
Pre
sta
tie
verm
oge
n
Eventuele
oplossing
Inside Sales * * ** ** * * RDS
Business Line
Management *** * ** *** * ** VDI
Security
Consultancy ** * ** *** *** ** DirectAccess
ITEM NEEDED Flexibiliteit: Acces anytime, anywhere and on any device Gebruikersgemak: Beschikbaarheid: Beveiliging: Offline toegang: Prestatie vermogen:
Overal het zelfde desktop ervaring en single sign-on Uptime Token authenticatie om in te loggen Documenten benaderen zonder internet verbinding Zware applicaties zonder problemen kunnen draaien
October 13, 2010 Bijlage II: Vergelijking tabel werkvormen
41 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
BIJLAGE II: VERGELIJKING TABEL WERKVORMEN
RDSH* RDVH** pooled
RDVH** personal
Lokaal
Gebruikers Concentratie
Hoog Midden Laag -
Applicatie Prestaties Laag tot Hoog Laag tot Hoog Laag tot Hoog Hoog
Applicatie Compatibiliteit
Middelmatig Hoog Hoog Hoogst
Software Ondersteuning
Midden Heel hoog Heel hoog Hoogst
Single Sign-on Moeilijk Moeilijk Moeilijk Moeilijk
Beheer Gebruikersprofiel
Midden Midden Midden tot moeilijk
Eenvoudig
Licentie Beheer Midden Moeilijk Midden Midden
Toegang Beheer Heel Goed Goed Middelmatig Slecht
Data Beveiliging Centraal Centraal Centraal Lokaal
Load Balancing Heel Goed Middelmatig tot Goed
Middelmatig tot Slecht
-
Deskop Template Heel Goed Goed Middelmatig Slecht
Randapparatuur Middelmatig tot Slecht
Middelmatig tot Goed
Middelmatig tot Goed
Heel Goed
Thin Client Integratie Heel Goed Goed Goed -
Offline Gebruik Nvt Nvt In Opkomst Heel Goed
Bandbreedte Gebruik Midden tot Hoog
Hoog Hoog Nihil
* RDSH= Remote Desktop Session Host
** RDVH= Remote Desktop Virtualization Host
October 13, 2010 Bijlage III: VDI vergelijkingsschema
42 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
BIJLAGE III: VDI VERGELIJKINGSSCHEMA
Microsoft VDI VMware View
User Experience
Connect Client Drives at logon √ RDP
Connect Client Printers at logon √ √
Connect Client COM ports at logon √ √
Microphone support √ √
Speaker support √ √
VoIP; Bi-directional audio LAN (11kbps each way) √ X
VoIP; Bi-directional audio WAN; (11kbps each way)
X X
USB device support; USB hub – Full USB X X
USB device support; USB 2.0 isochronous X X
USB Camera (Mass Storage Device) √ X
Clipboard re-direction; files-folders √ X
Twain (scanner) device support √ √
Client-to-server Folder redirection X X
Client time zone redirection X X
Regional settings redirection X √
Webcam support (LAN) X X
Webcam support (WAN); latency reduction and bandwidth compression
X X
Audio codec - System sounds (22Kbps) √ √
Audio codec - Optimized for Speech (34kbps) √ √
Audio codec - HQ audio (192Kbps) √ √
Adobe Flash support; server-side rendered √ PCoIP
Adobe Flash support; client-side rendering X RDP
Server-side content/flash fetching √ √
Client-side content/flash fetching X X
Multimedia (A/V) redirection; server-side rendering √ PCoIP
Multimedia (A/V) redirection; client-side rendering √ RDP
2D/3D Progressive Display √ PCoIP
Network latency masking / reduction X X
Connect network printers with vDesktop policies X X
ClearType fonts support √ √
Aero support (Win7) √ X
32-bit color support √ √
Multi-monitor support √ √
Full-HD support (1920x1200) per monitor √ √
October 13, 2010 Bijlage III: VDI vergelijkingsschema
43 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Maximum resolution ≤ 4096 x 2048 √ RDP
2560*1600 √ √
1920*1200 √ √
Auto-resize user desktop X PCoIP
Single Sign-on from Windows endpoint to vDesktop
X √
Supported Remote Display Protocols
Microsoft RDP 6.1 √ √
Microsoft RDP 7.0 √ X
Microsoft RDP 7.1 (RemoteFX) √ X
VMware / Teradici PCoIP X √
Management
User Profiel Management X X
Bandwidth/resource management: printing X √
Universal printer driver: EMF support √ √
Manage client drive redirection √ √
Manage client USB redirection X X
Security and Networking
Integrates (SSO) with Juniper SSL-VPN X √
Integrates (SSO) with Microsoft IAG/UAG √ X
Two-factor authentication-RSA Secure ID √ √
Two-factor authentication-SMS passcode support X X
Two-factor authentication-Full Radius / IAS support √ X
SSL Tunneling through Security Server √ RDP
Client device location awareness X √
Smartcard pass-through support X ~
Smartcard logon support √ ~
Remoting Protocol network traffic shaping √ RDP
Remoting Protocol network QoS √ RDP
VDI Desktop Assignment
Integrated with AD √ √
Multi-AD support X √
Based on AD group √ √
Based on AD user √ √
Based on AD OU X X
Based on Device Name X X
Based on Device Address X X
Restrict access based on time/location/device X X
Desktop Provioning
Imaging delivery through SAN √ √
Statefull; assigned/private images √ √
Stateless; pooled/standard images √ √
Automatic creation of desktops X √
October 13, 2010 Bijlage III: VDI vergelijkingsschema
44 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam
Provision Desktops across multiple data stores X √
Single disk image build-in X √
Single disk image 3rd party X √
Physical desktops / Blade PCs X √
Internet Browser support for web based access to vDesktop
IE 7.x √ RDP
IE 8.x √ X
Mozilla Firefox 3.x X X
Google Chrome X X
Java client X √
Virtual Infrastructuur (hypervisor) support
VM vSphere 4.0 X √
Microsoft Hyper-V R2 √ X
Connection Broker/ Services
Integrated Load balancing X X
High Availability by design √ X
Centralized management console √ √
Web-based management interface X √
Microsoft Management Console Interface √ X
Console supports multiple concurrent administrators
√ √
VM pool management √ √
VM power management ~ X
Connection Broker/ Services OS support
Microsoft Windows Server 2003 R2 X X
Microsoft Windows Server 2003 R2-64-bit X √
Microsoft Windows Server 2008 X X
Microsoft Windows Server 2008 64-bit X X
Microsoft Windows Server 2008 R2 64-bit √ X
Database OS support
Microsoft SQL Server 2005 Express Edition √ √
Microsoft SQL Server 2005 √ √
Microsoft SQL Server 2008 √ √
Microsoft Access X X
Licenses
No external license server required √ √
Concurrent user/desktop licenses X √
Per device licenses √ X
Grace period √ X