Motiv Secure Desktop

44
10 Motiv Secure Desktop Afstudeerscriptie Gino Manuel

Transcript of Motiv Secure Desktop

Page 1: Motiv Secure Desktop

10

Motiv Secure Desktop

Afstudeerscriptie

Gino Manuel

Page 2: Motiv Secure Desktop

October 13, 2010 Samenvatting

2 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Betrokkenen

Auteur Gino Manuel 0785017

Opdrachtgever Motiv IT Masters Poortdijk 13 3402 BM, IJsselstein

Bedrijfsbegeleider Sander Zumbrink

Onderwijs instelling Hogeschool Rotterdam

Instituut Communicatie, Media en Technologie(CMI)

Opleiding Hogere Informatica

Afstudeercoördinator A. van Raamt

Examinator H. Bezemer

Assessor B. Eleveld

Versie beheer

Versie Status Datum Wijziging

0.1 Concept 4-09-2010 Opzet structuur

0.2 Concept 1-10-2010 Pre-concept

0.3 Concept 7-10-2010 Eerste concept

0.4 Concept 10-10-2010 Kleine inhoud wijzigingen

0.5 Concept 13-10-2010 Grammatica controle

1.0 Definitief 14-10-2010 Definitief

Distributie lijst

Versie Datum Ontvanger(s)

0.2 1-10-2010 Sander Zumbrink , H. Bezemer

0.3 7-10-2010 Sander Zumbrink

0.4 10-10-2010 H. Bezemer

0.4 11-10-2010 Sander Zumbrink

0.5 13-10-2010 Sander Zumbrink

1.0 14-10-2010 Sander Zumbrink , H. Bezemer, B Eleveld

Page 3: Motiv Secure Desktop

October 13, 2010 Samenvatting

3 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

SAMENVATTING

Het doel van de afstudeeropdracht is om een desktop omgeving te creëren die dusdanig

gestandaardiseerd moet zijn dat het de efficiëntie en flexibiliteit van de eindgebruikers moet

bevorderen. Daarnaast moet de desktop omgeving ook eenvoudig te beheren zijn. Het moet

een omgeving worden waarbij de medewerkers te allen tijden, op dezelfde eenduidige

manier te werk kunnen gaan ongeacht hun locatie. Het moet niet uitmaken van waar de

gebruiker werkt, als deze maar op een eenvoudige en veilige manier toegang heeft tot

relevante bedrijfsinformatie.

Vrij snel is het idee ontstaan om een virtuele desktop omgeving te creëren om aan

bovenstaande eisen en wensen te kunnen voldoen.

Allereerst is er onderzoek verricht naar desktopvirtualisatie. Het was een algemeen

onderzoek om inzicht te krijgen in de mogelijkheden van desktopvirtualisatie. Daaruit bleek

dat Remote Desktop Services (RDS voor heen Terminal Services) en Virtual Desktop

Infrastructuur (VDI) de twee meest adequate oplossing waren. Het zijn allebei server-based

vormen van desktopvirtualisatie. Vervolgens is er een onderzoek verricht naar de

technologie van Microsoft en VMware als de twee grootste software leverancier op het

gebied van desktopvirtualisatie. Aansluitend is er voor de Microsoft technologie een Proof-of-

Concept uitgevoerd.

Aan de hand van de onderzoeks- en test resultaten is er een technisch ontwerp gemaakt. De

voorgestelde oplossing is echter gebaseerd op DirectAccess maar wordt wel aangevuld

(voor de kleine groep gebruikers zonder een laptop) met desktopvirtualisatie. DirectAccess

biedt dezelfde mogelijkheden als desktopvirtualisatie, maar dan zonder al te hoge

investeringen. Medewerkers kunnen op een eenvoudige en transparante manier vanaf elke

willekeurige locatie werken (met alle bedrijfsinformatie tot hun beschikking).

Er is echter ook gebleken dat het niet reëel was om de voorgestelde oplossing daadwerkelijk

te realiseren binnen deze afstudeeropdracht. De oplossing is uiteindelijk opgedeeld in drie

stappen. De eerste stap is uitgevoerd (geïmplementeerd). Daarnaast is er een plan

opgesteld om de overige stappen uit te voeren.

Om tot een compleet geoptimaliseerde desktop omgeving te komen moet Motiv nog de

volgende onderdelen uitvoeren:

Virtualiseren van applicaties;

Clients migreren naar Windows 7;

De overstap maken van IPv4 naar IPv6;

Servers migreren naar Windows 2008 R2;

Deze stappen moeten gepaard gaan met een duidelijk desktop beleid, waarin strategische

keuzes gemaakt worden.

Page 4: Motiv Secure Desktop

October 13, 2010 Management summary

4 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

MANAGEMENT SUMMARY

The goal of this project was to create a desktop environment that promotes the efficiency and

flexibility of end users . The environment also had to be easily manageable. Employees

should be able to access the workspace at all times regardless of their location. It should not

matter from where the user is trying to access the workspace as long as it is based on a

secure access methodology.

Hence the idea to create a virtual desktop environment.

Firstly, research was done on desktop virtualization. It was basic research to understand the

capabilities of desktop virtualization. It showed that Remote Desktop Services (RDS formerly

known as „Terminal Services‟) and Virtual Desktop Infrastructure (VDI) were the two most

appropriate solutions. They are both server-based forms of desktop virtualization. The

research scope then shifted to the market leaders in area of desktop virtualization. These

where Microsoft and VMware. After this research the Microsoft platform was chosen for a

Proof of Concept implementation.

Based on the research and test results, a technical design has been made. The proposed

solution is based on DirectAccess but also includes (for the small group of users without a

laptop) desktop virtualization. DirectAccess offers the same features as desktop

virtualization, but without any great investment. It gives users the experience of being

seamlessly connected to their corporate network any time and place an internet connection

is available.

The realization was made that during the course of this thesis that it would not be possible to

implement the solution as a whole. Therefore it was eventually divided into three steps. The

first step was realized (implemented). The following plan has been created for the remaining

steps.

To achieve a complete optimized desktop environment, the following task should be

completed:

• Virtualizing the applications;

• Migrate clients to Windows 7;

• Move from IPv4 to IPv6;

• Migrating to Windows Server 2008 R2;

These steps must be accompanied by a clear desktop policy where strategic choices are

made.

Page 5: Motiv Secure Desktop

October 13, 2010 Management summary

5 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

INHOUDSOPGAVE

1. Inleiding .......................................................................................................................... 7

2. Het bedrijf ....................................................................................................................... 8

2.1. Achtergrond............................................................................................................. 8

2.2. Missie en strategie .................................................................................................. 8

2.3. Organisatie .............................................................................................................. 8

2.4. Begeleiding ............................................................................................................. 9

3. De Opdracht ..................................................................................................................10

3.1. Opdrachtomschrijving .............................................................................................10

3.2. Doelstelling ............................................................................................................10

3.3. Aanpak ...................................................................................................................10

4. Inventarisatie .................................................................................................................12

4.1 Huidige situatie .......................................................................................................12

4.2 Gebruikersgroepen.................................................................................................12

4.3 Gewenste situatie ...................................................................................................13

5. Desktopvirtualisatie .......................................................................................................14

5.1. Wat is desktopvirtualisatie ......................................................................................14

5.2. Vormen van desktopvirtualisatie .............................................................................14

5.2.1. Sessie .............................................................................................................15

5.2.2. VDI ..................................................................................................................15

5.2.3. Blade ...............................................................................................................16

6. Microsoft DesktopVirtualisatie .......................................................................................17

6.1. Algemeen ...............................................................................................................17

6.2. Remote Resktop Services ......................................................................................17

6.2.1. In welke gevallen RDS gebruiken? ..................................................................17

6.2.2. Remote Desktop Services Role Services ........................................................17

6.2.3. Licentieovereenkomst voor RDS .....................................................................18

6.3. Virtual Desktop Infrastructuur .................................................................................18

6.3.1. VDI scenario‟s .................................................................................................18

6.3.2. Licentieovereenkomst voor VDI .......................................................................18

6.3.3. Microsoft VDI suites ........................................................................................19

6.4. App-V .....................................................................................................................19

6.4.1. Voordelen van applicatievirtualisatie ...............................................................19

6.4.2. Werking van App-V .........................................................................................20

6.5. User-State ..............................................................................................................20

6.6. Server-based desktopvirtualisatie architecture .......................................................21

6.7. DirectAccess ..........................................................................................................21

6.7.1. Wat doet DirectAccess ....................................................................................21

6.7.2. Onderliggende techniek van DirectAccess ......................................................21

6.7.3. Voordelen en eisen .........................................................................................22

7. VMware Desktopvirtualisatie .........................................................................................23

7.1. Algemeen ...............................................................................................................23

7.2. De architecture .......................................................................................................23

7.3. Licentie ...................................................................................................................25

Page 6: Motiv Secure Desktop

October 13, 2010 Inleiding

6 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

8. Proof-of-Concept ...........................................................................................................26

8.1. Doel .......................................................................................................................26

8.2. Opstelling ...............................................................................................................26

8.3. Bevindingen ...........................................................................................................27

9. Oplossing ......................................................................................................................28

9.1. Voorgestelde oplossing ..........................................................................................28

9.2 Componenten .........................................................................................................28

9.3 Fasering .................................................................................................................30

10. Implementatie ................................................................................................................32

10.1. Ontwerp .................................................................................................................32

10.2. Componenten .........................................................................................................32

10.3. Toegevoegde waarde .............................................................................................33

11. Conclusie en discussie ..................................................................................................34

11.1 Conclusie ...............................................................................................................34

11.2 Discussie ................................................................................................................34

Verklarende woordenlijst ......................................................................................................36

Bronnen ...............................................................................................................................38

Boeken .............................................................................................................................38

Internet pagina‟s ...............................................................................................................38

Artikelen ............................................................................................................................38

Bijlagen ................................................................................................................................39

Bijlage I: Vergelijking gebruikers groepen .............................................................................40

Bijlage II: Vergelijking tabel werkvormen ..............................................................................41

Bijlage III: VDI vergelijkingsschema ......................................................................................42

Page 7: Motiv Secure Desktop

October 13, 2010 Inleiding

7 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

1. INLEIDING

In dit verslag staat de manier waarop de eindgebruikers van Motiv nu en in de nabije

toekomst gaan werken met centraal opgestelde voorzieningen. De nadruk ligt hier bij de

desktopomgeving.

Dit verslag is tot stand gekomen naar onderzoek te hebben verricht naar enkele manieren

die er zijn om de desktopomgeving te virtualiseren.

Het doel van dit verslag is vooral om de lezer een inzicht te geven in het verloop van het

afstudeertraject. Tevens zijn de resultaten van het onderzoek naar desktopvirtualisatie in het

verslag verwerkt. Ook is het de bedoeling om de lezer een idee te geven van wat er komt

kijken bij het creëren van een geoptimaliseerde werkplek.

Page 8: Motiv Secure Desktop

October 13, 2010 Het bedrijf

8 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

2. HET BEDRIJF

Dit hoofdstuk beschrijft het bedrijf waar de afstudeeropdracht uitgevoerd is.

2.1. Achtergrond

De opdracht is uitgevoerd bij Motiv IT-masters BV, kortweg Motiv. Motiv is een dienstver-

lenend bedrijf dat sinds 1998 actief is op de ICT markt. Het is een middelgroot bedrijf met

ongeveer 65 vaste medewerkers waar een informele sfeer heerst met „korte lijnen‟. De

toenmalige oprichters zijn allen nog actief binnen het management team.

Sinds 2001 vormt security de rode draad in de portfolio van Motiv. De focus ligt bij het

beveiligen van enerzijds informatie en bij netwerken anderzijds.

2.2. Missie en strategie

Motiv ziet zichzelf als sparring partner, systems integrator en probleemoplosser voor klanten

die op zoek zijn naar innovatieve ICT oplossingen. Motiv werkt met marktleiders voor

bepaalde beveiligingsmaatregelen zoals: firewalls, spam filtering, sterke authenticatie en

software ontwikkeling tools. Het uitgangspunt is altijd om oplossingen te creëren en niet om

producten van specifieke fabrikant te verkopen.

Hun visie is om dienstenverlening te creëren waarbij advies over IT-security gecombineerd

wordt met praktische technische werkzaamheden en het leveren van bijbehorende

producten.

Motiv ziet security als compleet onderdeel van ICT en onderkent zowel technische als

organisatorische aspecten. Motiv vindt dat bij een passende aanpak security tot verbetering

van de bedrijfsvoering moet leiden in plaats van als belemmering. Motiv ziet het ook als zijn

taak om door middel van passende informatiebeveiliging en/of voorziening een positieve

bijdrage te leveren aan zijn klanten.

2.3. Organisatie

De organisatie bestaat uit drie Business Lines. Dat zijn Applicatie Ontwikkeling, Consultancy

& Services en Projectmanagement. Laatst genoemde stuurt projecten aan die voortkomen

uit de twee andere Business Lines. Verder heeft Motiv, net als meeste bedrijven van deze

omvang, een aantal ondersteunde afdelingen (zie figuur 2-1 voor compleet organogram).

Page 9: Motiv Secure Desktop

October 13, 2010 De Opdracht

9 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Figuur 2-1: Organogram Motiv.

De Business Line applicatieontwikkeling ontwikkelt informatiesystemen op basis van

Microsoft technologie. Bijvoorbeeld intra- en extranet oplossingen met Microsoft Office

SharePoint technologie en web applicaties in Microsoft.Net.

De Business Line Consultancy & Services is opgedeeld in een groep van Security

Consultants en de afdeling Service Organisatie. De afdeling Service Organisatie bestaat uit

acht medewerkers die netwerkcomponenten beheren voor klanten. Dit gebeurt op basis van

SLA‟s variërend van basis support tot volledig door Motiv beheerde diensten. De Services

Organisatie zorgt ook voor intern beheer.

2.4. Begeleiding

De begeleiding van de afstudeeropdracht is vanuit Motiv gedaan door Sander Zumbrink. Hij

is als coördinator van de Services Organisatie medeverantwoordelijk voor interne IT-

projecten. Hij fungeerde tevens als opdrachtgever. Naast hem volgde Simon van den Bos als

Business Line Manager de ontwikkelingen van de afstudeeropdracht nauwlettend.

Page 10: Motiv Secure Desktop

October 13, 2010 De Opdracht

10 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

3. DE OPDRACHT

In dit hoofdstuk wordt de afstudeeropdracht beschreven. Allereerst zal de opdracht

omschreven worden. Vervolgens wordt er een opsomming gemaakt van de doelstellingen.

Tot slot wordt de aanpak in vier fases opgedeeld.

3.1. Opdrachtomschrijving

De opdracht houdt in dat er een oplossing gezocht moet worden voor een nieuwe en

efficiënte manier van werken voor de eindgebruikers binnen Motiv. De werkomgeving moet

dusdanig gestandaardiseerd worden dat het tevens eenvoudig te beheren is.

Vanuit die behoeftes is, bij aanvang het project, het idee ontstaan om een virtuele desktop

omgeving te creëren. Een omgeving waarbij de medewerkers te allen tijden, op de zelfde

eenduidige manier te werk kunnen gaan ongeacht hun locatie („anytime, anywhere and on

any device‟).

3.2. Doelstelling

De opdracht heeft een aantal doelstellingen en dat zijn:

Het centraliseren van beheer

Het centraliseren van de desktopomgeving moet leiden tot een meer stabiliteit, snellere

probleemoplossing en minder problemen met de implementatie van software en patches.

Het verbeteren van de efficiëntie en de productiviteit

Effectiever IT-beheer moet voordelen creëren voor de hele organisatie, niet alleen door het

verlagen van de IT-gerelateerde kosten, maar ook door de productiviteit van de gebruikers in

de organisatie te verbeteren.

Het beschikbaar stellen van relevant bedrijfsinformatie

Hier is de uitgangspunt dat gebruikers vanaf elke plaats toegang kunnen hebben tot

bedrijfsinformatie ongeacht hun locatie. Telewerken moet de gebruikers die flexibiliteit geven.

Het veiligstellen van bedrijfkritische informatie

Er moet op rol gebaseerde configuraties geïmplementeerd worden om informatie voor

onbevoegde te ontsluiten.

3.3. Aanpak

Het project is onderverdeeld in vier fases. Binnen elke fase zullen er een aantal activiteiten

plaats vinden.

Eerste fase: Oriëntatie fase

In deze fase wordt het plan van aanpak gemaakt. Ook zal er een inventarisatie gemaakt

worden van de huidige situatie. Verder moet er gekeken worden naar wat de wensen en

Page 11: Motiv Secure Desktop

October 13, 2010 Inventarisatie

11 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

eisen binnen de interne organisatie. Ook zal er vooronderzoek verricht worden naar

desktopvirtualisatie.

Tweede fase: Onderzoeksfase

In deze fase zal er een diepgaand onderzoek verricht moeten worden naar de

desktopvirtualisatie oplossingen van Microsoft en VMware. Dit om de voor- en nadelen van

beide leveranciers (ten aanzien van desktopvirtualisatie) in kaart te brengen.

Derde fase: Test en Implementatie fase

In deze fase wordt een Proof-of-Concept (PoC) uitgevoerd. In de PoC worden de

mogelijkheden van de desktopvirtualisatie van Microsoft getest. Vervolgens zal er een voor

een nog nader te bepalen oplossing gekozen worden, die dan geïmplementeerd wordt.

Vierde fase: Afrondingfase

In de afrondingsfase wordt de opdracht overgedragen aan de opdrachtgever. Tevens worden

er conclusies ten aanzien van de opdracht getrokken.

Page 12: Motiv Secure Desktop

October 13, 2010 Inventarisatie

12 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

4. INVENTARISATIE

In dit hoofdstuk wordt de huidige situatie in kaart gebracht. Tijdens deze inventarisatie zijn

een aantal constateringen gedaan die nader uiteengezet worden.

4.1 Huidige situatie

Beheer

Van de 65 medewerkers in dienst bij Motiv, heeft ongeveer 90 procent een laptop van de

zaak. Eén derde daarvan is eigenlijk geen mobiele gebruiker, maar heeft voor het gemak

toch een laptop.

Vanaf het moment dat een gebruiker een laptop krijgt is hij verder zelf verantwoordelijk voor

het beheer er van. De gebruiker is vanaf dat moment lokale administrator en is vrij om te

doen wat hij wil. Dit leidt tot een situatie waarbij de beheerders geen controle hebben over de

werkplekken.

Er is binnen de organisatie geen centraal beheer van werkplekken. Dit leidt ertoe dat de

beheerders enorm veel tijd kwijt zijn met het distribueren van nieuwe applicaties (of versies

ervan).

Manier van werken

Elke medewerker werkt lokaal op zijn computersysteem en heeft een persoonlijke

netwerkdrive waar hij zijn data kan opslaan. Indien een gebruiker op interne servers wilt

werken dient hij opnieuw zijn inloggegevens in te voeren bij het benaderen van de server.

Wat overigens als niet optimaal wordt ervaren.

Telewerken

Telewerken is momenteel mogelijk via de Juniper SA. De SA zorgt voor een SSL verbinding

naar het bedrijfsnetwerk. Dit maakt het mogelijk om vanaf locatie een Terminal Sessie op te

zetten.

4.2 Gebruikersgroepen

Binnen de organisatie is er een verscheidenheid aan type medewerkers. Om een beter beeld

van deze medewerkers te creëren, qua eisen en werkzaamheden, zijn ze onderverdeeld in

vijf groepen. Voor meer informatie zie ook bijlage I.

Mobiele medewerkers

Ze werken regelmatig buiten de deur. Ze willen altijd en overal eenvoudig toegang tot

informatie, middelen en applicaties.

Kantoormedewerkers

Page 13: Motiv Secure Desktop

October 13, 2010 Desktopvirtualisatie

13 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Ze verzamelen gegevens, verwerken cijfers en werken met veel documenten. Ze hebben

behoefte aan stabiliteit en consistentie. Ze hebben toegang tot de meest recente Office

programma‟s en bedrijfsapplicaties.

Taakgerichte/zware medewerkers

Ze zijn veeleisende gebruikers. Zij maken gebruik van “zware” applicaties. Ze hebben

behoefte aan een functioneel computersysteem (die precies doet wat ze willen dat het doet).

Thuiswerkers

Ze werken regelmatig thuis. Zij hebben vanuit huis op een veilige manier toegang tot het

bedrijfsnetwerk. Ze hebben ook vaak behoefte aan ondersteuning van het bedrijf.

Inhuur medewerkers

Zij zijn ingehuurde medewerkers die tijdelijke of voor een vast gestelde periode toegang

nodig hebben tot bedrijfsinformatie en -middelen.

4.3 Gewenste situatie

De gewenste situatie die hier beschreven wordt, is opgesteld op basis van uitgevoerde

interviews met vijf medewerkers verspreidt over de hele organisatie. Van de algemene

directeur tot de verantwoordelijke voor intern beheer.

Er is behoefte aan een situatie met het juiste evenwicht tussen veiligheid en praktische

werkbaarheid. Als er bijvoorbeeld gekeken wordt naar het telewerken, waar een gebruiker

meerdere malen gevraagd wordt voor het invoeren van zijn inloggegevens, draagt dat niet bij

aan de praktische werkbaarheid. Omgekeerd, als er helemaal niet naar inloggegevens

gevraagd wordt zal dat ten koste gaan van de veiligheid. Single sign-on met two-factor-

authentication is een gewenste oplossing, waarbij een gebruiker eenmaal inlogt met behulp

van een zogeheten “one-time-password” of sms-authenticatie.

Verder is het wenselijk om een situatie te creëren waar de virtuele desktop vanaf iedere

locatie beschikbaar is. Dat houdt in dat het niet uit maakt vanaf waar een gebruiker zich

aanmeldt. De gebruiker moet locatie onafhankelijk toegang krijgen tot het bedrijfsnetwerk.

Ook is het wenselijk dat er een eenvoudige en beheerbare oplossing tot stand wordt

gebracht, waarbij het beheer niet een tijdrovende bezigheid moet zijn.

Aansluitend is er een behoefte aan een situatie waar weinig tot geen lokale resources nodig

is. Door bijvoorbeeld met thin- en zero clients te werken.

Tot slot gaat er een lichte voorkeur naar een Microsoft oplossing vanwege het feit dat Motiv

een gold partner is van Microsoft.

Page 14: Motiv Secure Desktop

October 13, 2010 Desktopvirtualisatie

14 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

5. DESKTOPVIRTUALISATIE

In dit hoofdstuk worden de resultaten van het onderzoek naar desktopvirtualisatie

weergegeven.

5.1. Wat is desktopvirtualisatie

Met “desktop” wordt meestal het bureaublad van een computersysteem mee bedoeld. In dit

onderzoek wordt de term desktop echter gebruikt voor de totale gebruikers werkomgeving op

een computersysteem. De gebruikers werkomgeving bestaat uit: Een GUI, applicaties, data,

en settings.

Er is sprake van desktopvirtualisatie op het moment dat de desktop van de gebruiker zich

niet direct op de hardware laag van een computersysteem bevindt. Dit kan mogelijk gemaakt

worden door een hypervisor tussen de hardware laag en de OS laag te plaatsen.

Desktopvirtualisatie kan er onder andere voor zorgen dat er meerdere besturingssystemen

op één computersysteem draaien.

5.2. Vormen van desktopvirtualisatie

Desktopvirtualisatie is in twee soorten op te delen, in lokaal (client-based) en centraal

(server-based). Bij lokale desktopvirtualisatie draait de virtuele desktop naast het normale

besturingssysteem op hetzelfde computersysteem. En bij centrale desktopvirtualisatie draait

de desktop op een server die bijvoorbeeld in een data center staat. Vanaf het werkstation

kan er een zogenaamde “remote” verbinding gemaakt worden naar de virtuele desktop

(remote desktop).

In dit onderzoek is er uitsluitend gekeken naar de mogelijkheden en vormen van server-

based desktopvirtualisatie. Er zijn drie vormen van server-based desktopvirtualisatie. Zie

afbeelding 5.1.

5-1: Vormen van desktopvirtualisatie.

Page 15: Motiv Secure Desktop

October 13, 2010 Desktopvirtualisatie

15 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

5.2.1. Sessie

De eerste en tevens de meest traditionele vorm van server-based desktopvirtualisatie is

sessievirtualisatie. Bij sessievirtualisatie maakt een gebruiker een verbinding naar een

server. De resources op de server worden gedeeld (met andere gebruikers).

Voordelen van Sessievirtualisatie:

Het centraliseren van het beheer van desktops;

Besparing op hardware kosten van werkplekken, door gebruik te maken van thin

clients in plaats van fat clients;

Vermindert veiligheid risico‟s;

Relatief lage kosten per sessie, per gebruiker.

Nadelen van Sessievirtualisatie:

Gebruikers hebben beperkte rechten;

Ondersteuning van software (omdat servers meestal op 64 bit besturingssystemen

draaien).

Dit onderzoek beperkt zich tot Microsoft en VMware. Aangezien VMware geen eigen vorm

van sessievirtualisatie biedt zal de benaming die Microsoft hanteert voor sessievirtualisatie

verder gebruikt worden. Die benaming is Remote Desktop Service (RDS), voorheen bekend

als Terminal Services (TS).

5.2.2. VDI

De volgende vorm van server-hosted desktopvirtualisatie is Virtual Desktop Infrastructure of

kort weg VDI. Bij VDI maakt een gebruiker een verbinding naar een complete virtuele

machine (VM) die op een server draait in de datacenter. In tegenstelling tot RDS krijgt een

gebruiker bij VDI niet alleen een virtuele desktop maar een complete VM tot zijn beschikking

met toegewijde resources. Dat kan een VM vanuit een gedeelde pool zijn of een persoonlijk

toegewezen VM.

Voordelen van VDI:

Besparing op hardware van client mits er gebruik gemaakt wordt van thin clients;

Veilige desktop omgeving in een datacenter;

Biedt vrijheid en flexibiliteit aan gebruikers;

Waarborgt de bedrijfscontinuïteit.

Nadelen van VDI:

Hoge investeringskosten (voor licentie en resources);

Hoge hardware kosten vanwege het geringe aantal gebruikers per server;

Minder eenvoudig te beheren;

Page 16: Motiv Secure Desktop

October 13, 2010 Microsoft DesktopVirtualisatie

16 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Afspelen van multimedia toepassingen;

Beperkte ondersteuning voor randapparatuur zoals usb, webcam en dergelijke.

5.2.3. Blade

Blade is ook een vorm van server-based desktopvirtualisatie. Het is een in het datacenter

gemonteerd computersysteem zonder scherm, toetsenbord en muis. De Blade wordt op

afstand door de gebruiker via het lokale netwerk benaderd met een thin client. Bij Blade heeft

elke gebruiker de volledige beschikking over zijn „eigen‟ computersysteem. Echter, in plaats

van een opstelling bij de gebruiker zelf is dit computersysteem dus op uiterst compacte wijze

in de datacenter gemonteerd. Daardoor wordt onder andere de veiligheid verhoogd en de

beheersbaarheid verbeterd.

Blade is verder buiten beschouwing gebleven binnen dit onderzoek.

Page 17: Motiv Secure Desktop

October 13, 2010 Microsoft DesktopVirtualisatie

17 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

6. MICROSOFT DESKTOPVIRTUALISATIE

Dit hoofdstuk belicht de desktopvirtualisatie producten en technologieën van Microsoft.

6.1. Algemeen

Microsoft levert een reeks aan producten die desktopvirtualisatie mogelijk maken. De

virtualisatie oplossingen van Microsoft zijn uit te voeren op verschillende lagen van het

computersysteem. Op de OS-, applicatie- en/of data laag. Op de OS-laag wordt het nog

eens verdeeld client-based en server-based.

Remote Desktop Services en Virtual Desktop Infrastructuur zijn allebei vorm van server-

based desktopvirtualisatie (op de OS-laag). Dan is er nog applicatievirtualisatie, dat is

vanzelfsprekend een vorm van virtualisatie op de applicatielaag. Voor virtualisatie op de data

laag heeft Microsoft User-State virtualisatie. Deze vier oplossingen van desktopvirtualisatie

zullen nader toegelicht worden.

6.2. Remote Resktop Services

Remote Desktop Services(RDS), voorheen bekend als Terminal Services, is een server-role

op Windows Server 2008 R2 die gebruikers de mogelijkheid geeft Windows gebaseerde

applicaties op een Remote Desktop Sessie Host server of een compleet Windows desktop te

benaderen. Met Remote Desktop Services kan een gebruiker een RD Session Host server

vanaf het lokale netwerk of vanaf het internet benaderen.

Op het moment dat een gebruiker een applicatie benaderd op het RD Session Host server,

draait de applicatie daadwerkelijk op de server. Het besturingssysteem beheert zo een

sessie transparant en elke gebruiker werkt onafhankelijk van elkaar op de server.

6.2.1. In welke gevallen RDS gebruiken?

Er zijn op voorhand al enkele gevallen waar het gebruik van RDS wenselijk zou zijn. In

situaties waar:

applicaties regelmatig worden bijgewerkt, onregelmatig worden gebruikt of moeilijk te

beheren zijn;

telewerken wenselijk is;

het gebruik van thin clients wenselijk is, een centrale server met RDS is dan

noodzakelijk.

6.2.2. Remote Desktop Services Role Services

Remote Desktop Services is een server role die verscheidene role services bevat. In

Windows Server 2008 R2 bestaat Remote Desktop Services uit de volgende role services:

Page 18: Motiv Secure Desktop

October 13, 2010 Microsoft DesktopVirtualisatie

18 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

RD Session Host (stelt een server in staat om applicaties of een complete Windows

desktop te hosten);

RD Virtualization Host (stelt een op Hyper-V gebaseerde server instaat om virtuele

machines aan een gebruiker te koppelen);

RD Web Access (geeft een gebruiker webtoegang tot remote desktops en

gepubliceerde applicaties);

RD Gateway (stelt geautoriseerde telewerkers in staat om verbinding te maken met

het interne netwerk vanaf elk willekeurig apparaat);

RD Connection Broker (ondersteunt sessie load-balancing);

RD Licensing (beheert de licenties).

6.2.3. Licentieovereenkomst voor RDS

Naast de standaard server licentie is er ook een Remote Desktop Service Client Access

Licentie (RDS CAL) vereist. Een RDS CAL is noodzakelijk per gebruiker of per apparaat.

6.3. Virtual Desktop Infrastructuur

In tegenstelling tot RDS krijgt een gebruiker bij VDI niet alleen een virtuele desktop, maar

een complete virtuele-machine tot zijn beschikking met toegewijde resources.

6.3.1. VDI scenario‟s

De VDI oplossing kent twee scenario‟s:

1. Persoonlijke virtuele desktop, een persoonsgebonden desktop, die persoonlijk te

configureren is.

2. Virtuele desktop pool, een pool met beschikbaar desktops, gebruikers krijgen een

willekeurig desktop toegewezen. Bij het uitloggen wordt de virtuele machine weer schoon

gemaakt, settings worden niet opgeslagen. Data worden opgeslagen op de share folder

van de gebruiker.

6.3.2. Licentieovereenkomst voor VDI

De licentie vereisten voor VDI zijn wat ingewikkelder dan voor RDS. Sinds juli 2010 heeft

Microsoft een nieuwe licentie beleid ingevoerd, als het gaat om het benaderen van virtuele

desktops. De nadruk wordt gelegd op het apparaat dat de virtuele desktop benadert. Indien

het apparaat onder de Windows Client Software Assurance (SA) Volume License valt, dient

er geen aanvullende Virtual Desktop Access (VDA) licentie aangeschaft te worden. Maar

indien dat niet het geval is (thin clients komen niet in aanmerking voor SA) is de VDA licentie

een noodzakelijke eis om de Windows VDI desktops te benaderen.

Een VDA licentie kan alleen per apparaat afgenomen worden, voor een substantieel bedrag

van $110 per jaar per apparaat.

Page 19: Motiv Secure Desktop

October 13, 2010 Microsoft DesktopVirtualisatie

19 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

6.3.3. Microsoft VDI suites

Microsoft levert twee suites voor VDI: Microsoft Virtual Desktop Infrastructure Standard Suite (VDI Standard Suite) en Microsoft Virtual Desktop Infrastructure Premium Suite (VDI Premium Suite).

De VDI Standard Suite kost $21 per jaar per apparaat en bestaat uit het volgende:

Hypervisor platform (Hyper-V 2008 R2);

Beheerpakket voor VDI (System Center Virtual Machine Manager 2008);

App-V als onderdeel van de Microsoft Desktop Optimalisatie Pack (MDOP);

Connection-Broker mogelijkheden via Windows Server 2008 R2 RDS.

De VDI Premium Suite kost $53 per jaar per apparaat en bevat naast de technologieën van

de Standaard Suite nog het volgende:

Applicatievirtualisatie special voor RDS;

Complete Remote Desktop Services functionaliteit, dus de mogelijkheid om zowel

een VDI als voor een sessies omgeving te benaderen.

6.4. App-V

APP-V is een tool om applicaties te virtualiseren. Applicatievirtualisatie zorgt ervoor dat

applicaties niet meer fysiek op het besturingssysteem geïnstalleerd dienen te worden. De

gebruiker streamt deze vanaf een centrale server over het internet of gewoon vanaf locatie.

Op een fysiek werkstation is een applicatie altijd afhankelijk van het besturingssysteem

waarop het geïnstalleerd is en van resources, drivers enzovoorts. Het virtualiseren van

applicaties verhelpt dit soort afhankelijkheden. Het koppelt de applicatie los van de hardware

en het besturingssysteem. App-V is onderdeel van het Microsoft Desktop Optimalisatie

Pakket (MDOP).

6.4.1. Voordelen van applicatievirtualisatie

Voordelen van App-V:

Voorkomt onderlinge conflicten tussen applicaties;

Centraliseert het patchen en upgraden van applicaties;

Versnelt het uitrollen van nieuwe applicaties;

Er is geen noodzaak om applicaties vooraf te testen;

Haalt het “beheer” van applicaties van de gebruiker weg (geen reboot nodig, ook

geen uninstall).

Page 20: Motiv Secure Desktop

October 13, 2010 Microsoft DesktopVirtualisatie

20 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

6.4.2. Werking van App-V

A) Een applicatie wordt gevirtualiseerd met de Application Virtualization Sequencer

(eenmalig);

B) De applicatie wordt op de Application Virtualization Streaming Server opgeslagen

(centraal);

C) De applicatie wordt vanaf de server gestreamd naar de App-V client.

Figuur 6-1: Microsoft Applicatievirtualisatie architectuur

Als de applicatie eenmaal op het werkstation staat is een verbinding met de Streaming

Server niet meer noodzakelijk. De applicatie wordt in de cache opgeslagen en gekoppeld

aan het gebruikersprofiel. Vanuit de Managment Console is het mogelijk om applicaties aan

gebruikers of groepen toe te kennen.

6.5. User-State

Bij User State virtualisatie worden de data en de settings van een gebruiker losgekoppeld

van het werkstation en centraal opgeslagen op een server. Hierdoor kunnen gebruikers op

elk willekeurig werkstation dat aan het netwerk hangt inloggen en hun data en/of settings

meenemen.

Voorbeelden van User State virtualisatie zijn:

Roaming user profile (data en settings zijn centraal opgeslagen op de server, gebruiker kan op elke geconfigureerd client inloggen en krijgt altijd zijn data tot zijn beschikking);

Folder redirection (geeft de mogelijkheid om de locatie van de op te slaan data te veranderen).

Page 21: Motiv Secure Desktop

October 13, 2010 Microsoft DesktopVirtualisatie

21 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

6.6. Server-based desktopvirtualisatie architecture

Figuur 6-2

6.7. DirectAccess

DirectAccess is weliswaar geen oplossing voor desktopvirtualisatie maar het is een waardige

alternatief/aanvulling voor desktopvirtualisatie. In dit geval voldoet het aan de eisen van het

project, en meer. DirectAccess maakt het mogelijk dat een mobiele gebruiker op een

transparante manier een verbinding kan maken met het bedrijfsnetwerk (vanaf een externe

locatie). De mobiele computers zijn ook eenvoudig te beheren via deze speciaal op gezette

verbinding.

6.7.1. Wat doet DirectAccess

DirectAccess zorgt ervoor dat, op het moment dat een mobiele gebruiker een verbinding met

het internet maakt, er automatisch een IPsec tunnel opgezet wordt naar het bedrijfsnetwerk.

Op het moment dat de DirectAccess client (remote computer) met verbinding krijgt met de

Network Location Server (web server) stelt de client vast of het systeem zich op het internet

of intranet bevindt.

6.7.2. Onderliggende techniek van DirectAccess

Om gegevens veiliger via openbare netwerken te verzenden gebruikt DirectAccess IPv6-

over-IPsec. Dit zorgt ervoor dat gegevens versleuteld over het internet gaan. DirectAccess

kan ook onnodig verkeer op het bedrijfsnetwerk verminderen door alleen gegevens die voor

Page 22: Motiv Secure Desktop

October 13, 2010 VMware Desktopvirtualisatie

22 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

het bedrijfsnetwerk zijn bestemd, te verzenden via de DirectAccess-server (door split

tunneling). Als split-tunneling uitgezet wordt gaat al het verkeer via het bedrijfsnetwerk

(proxy-server) voordat het, het internet op gaat. Dit is een optie indien split-tunneling

wenselijk is.

Figuur 6-3: Schets van werking DirectAccess

6.7.3. Voordelen en eisen

DirectAccess kent vele voordelen, zoals:

Zorgt voor naadloze verbinding met het interne netwerk ongeacht locatie;

Het biedt een veilige verbinding over het internet (IPsec + IPv6);

Offline user folder(synchroniseert automatische bij verbinding);

Maakt beheer van externe computers eenvoudiger en effectiever.

Eisen die verbonden zijn met het implementeren van DirectAccess:

IP adressering alleen op basis van IPv6;

DirectAccess client draait alleen op Windows 7 Enterprise of Ultimate;

De DA Server heeft minimaal twee netwerk kaarten nodig;

Indien er een firewall voor of achter de DirectAccess Server staat dienen ze het

benodigde verkeer toe te laten.

De eisen die gesteld worden aan IP adressering vormen de grootste belemmering voor het

implementeren van DirectAccess. Het kan nogal een opgave zijn om een netwerk waarin de

servers alleen IPv4 met elkaar “praten” over te zetten naar IPv6.

Page 23: Motiv Secure Desktop

October 13, 2010 VMware Desktopvirtualisatie

23 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

7. VMWARE DESKTOPVIRTUALISATIE

7.1. Algemeen

VMware heeft een desktopvirtualisatie oplossing genaamd “View”. View is een VDI

oplossing. Op het moment van onderzoek was VMware View 4.0.1 de laatste uitgebrachte

versie (uitgebracht in februari 2010). De nieuwste release van View, 4.5 is al enkele keren

uitgesteld het verhaal doet de ronde dat het op zeer korte termijn uitgebracht wordt. Als er

gekeken wordt naar View 4, is het al de tweede generatie van VDI oplossing van VMware.

Hoewel VMware zelf pas in 2008 met hun eerste VDI oplossing gekomen is, kan er gezegd

worden dat de ontwikkelingen op dit gebied heel snel gaan. In 2009 is VMware een

samenwerking aangegaan met Teradici om een betere kwaliteit van beeld te presenteren

aan de eindgebruikers. Teradici heeft de Remote Display protocol PCoIP ontwikkeld en

VMware View 4 is gebaseerd op dit protocol.

7.2. De architecture

De architectuur van VMware is niet zo complex en theoretisch gezien is het eenvoudig te

implementeren. De VM‟s draaien boven op de VMware vSphere. Daarnaast heeft de View

Manager een centrale rol. Om de Linked-Clone technologie te gebruiken dient de View

Composer op de vCenter Server geïnstalleerd te worden. Voor het virtualiseren van

applicaties heeft VMware ThinApp.

Figuur 7-1

Page 24: Motiv Secure Desktop

October 13, 2010 VMware Desktopvirtualisatie

24 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

View Manager

De View Manager is één van de belangrijkste componenten van VMware View. Het bestaat

uit verschillende (handige/nuttige) onderdelen:

View Connection Server: Zorgt voor een beveiligt verbinding naar virtuele desktops,

View Agent: Draait op elke virtuele desktop en wordt gebruikt voor onder andere het

beheren van sessies en single sign-on,

View Client: Draait op een computersysteem, dat een Windows system kan zijn of

een thin client, hiermee maakt een gebruiker verbinding met de View Connection

Server,

View Portal: Als alternatief kan een gebruiker via een webbrowser verbinding maken

met de virtuele desktop,

View Administrator: Beschikbaar via de webbrowser en wordt gebruikt door de

beheerder voor het beheren en configureren van de View Manager.

VIEW COMPOSER

Een nogal interessante component in het VMware View

pakket is de View Composer. Hiermee is het mogelijk om

de opslag vereisten voor de virtuele desktop omgeving

significant terug te dringen. Bij het gebruik van de Linked-

Clone technologie wordt er een master (parent) image

gecreëerd. Alle gebruikers werken vanaf die ene image

en alleen die ene master image wordt beheerd

(geupgrade). Om er voor te zorgen dat het mogelijk is dat

een gebruiker de virtuele desktop persoonlijk kan

inrichten is er ook een “user data disk”. Daarop staan de

persoonlijke instellingen en data van een gebruiker. Zoals

hiernaast te zien in figuur 7-2 bestaat een virtuele desktop

bij gebruik van ThinApp uit drie onderdelen: De Parent

Image, de user-data disk en ThinApps.

ThinApp

ThinApp is de applicatievirtualisatie oplossing van VMware. ThinApp is ontwikkeld om het

beheren en distribueren van applicaties te vereenvoudigen en onderlinge conflicten tussen

applicatie te voorkomen.

Figuur 7-2: VMware View Composer.

Page 25: Motiv Secure Desktop

October 13, 2010 Proof-of-Concept

25 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

7.3. Licentie

Zoals er gezien kon worden, bestaat de VMware View pakket uit diverse componenten. Een

samenstelling van die componenten zorgt ervoor dat er dat er twee pakketten ontstaat:

Enterprise en Premier editie. Zie tabel 7-1 voor een compleet overzicht van beide pakketen

(prijzen zijn per gebruiker).

Enterprise Premier

vSphere 4 (desktop) V V

vCenter 4 (desktop) V V

View Manager 4 V V

View Composer V

ThinApp V

Offline Desktop V

Prijs $ 150 $ 250

Tabel 7-I : VMware View pakket vergelijking.

Page 26: Motiv Secure Desktop

October 13, 2010 Proof-of-Concept

26 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

8. PROOF-OF-CONCEPT

Dit hoofdstuk beschrijft het doel, de opstelling en bevindingen van de Proof-of-Concept

(PoC). De PoC is binnen het test lab van Motiv uitgevoerd.

8.1. Doel

Het voornaamste doel van de PoC was om de voordelen van desktopvirtualisatie tentoon te

stellen. Daarnaast is er ook gekeken naar:

Voorgeschetste oplossing, of die ook daadwerkelijk functioneert als de fabrikant doet

geloven;

De beheerbaarheid van de omgeving;

De prestaties van een virtuele desktop op een centrale server.

8.2. Opstelling

Voor de uitvoering van de PoC is gebruik gemaakt van twee fysieke servers. Eén met Intel

Virtualization Technology en één zonder. Vanzelfsprekend is de server met de processor die

Hyper-V ondersteunt gebruikt als RD Virtualization Host en de andere als RD Session Host.

Dit aangezien Hyper-V een vereiste is van de RD Virtualization Host role binnen Windows

Server 2008 R2. Op de RDVH draaien 6 servers en 3 clients, zoals te zien op onderstaande

figuur (8-1).

8-1: PoC opstelling.

Page 27: Motiv Secure Desktop

October 13, 2010 Oplossing

27 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

8.3. Bevindingen

Multifunctionele server

In eerste instantie is er getracht om meerdere componenten van de Remote Desktop Service

op één server te draaien, maar dat bleek niet de juiste oplossing te zijn. Het was geen goed

idee om de RDSH als Domain-Controller en Connection-Broker te gebruiken. Die twee rolen

zijn uiteindelijk op twee aparte VM‟s ondergebracht (op de andere fysieke server).

Prestaties

De algemene prestaties zijn prima, denk hierbij aan het voeren van eenvoudige taken. De

grafisch waren wat minder op moment dat videofragmenten van hoge resoluties afgespeeld

werden (30 frames per seconde of meer).

Beheerbaarheid

Een RD Session Host is simpel weg eenvoudig te beheren. Echter komt er bij het beheren

van een VDI omgeving meer bij kijken. Want de beheerder heeft dan te maken met losse

persoon toegewezen VM‟s die feitelijk op het zelfde wijze beheer dienen te worden als

fysieke werkplekken. Het enige verschil is dat ze nu op één gezamenlijk server staan.

Voor een overzicht van de comptabiliteit test zie bijlage II.

Page 28: Motiv Secure Desktop

October 13, 2010 Oplossing

28 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

9. OPLOSSING

9.1. Voorgestelde oplossing

In de voorgestelde oplossing speelt DirectAccess een doorslaggevend rol. Zoals eerder

gezegd is DirectAccess weliswaar geen oplossing voor desktopvirtualisatie maar het voldoet

aan de eisen van het project. DirectAccess is pas in beeld gekomen na dat er een gesprek

heeft plaatsgevonden met een Technical Specialist van Microsoft op het gebied van

Windows Client. Die stelde DirectAccess als oplossing voor het telewerken.

9.2 Componenten

De voorgestelde oplossing bestaat uit een aantal componenten die de oplossing tot een

geheel vormt.

Clients

De werkplekken gaan allemaal draaien op Windows 7 (Enterprise). Het is een besturings-

systeem dat meer veiligheid en stabiliteit biedt dan zijn voorgangers. Dit vanwege de zeer

grote aantal beveiligingscomponenten die erin zitten. Verder functioneert het gebruik van

offline files beter in Windows 7. De User-Interface is ook verbeterd, dit draagt er toe bij dat

gebruikers snellere en efficiënter kunnen werken.

Cruciale desktopoptimalisatie features van Windows 7:

DirectAccess (geeft mobiele gebruikers naadloos toegang tot bedrijfsnetwerken

zonder tussen komst van de gebruiker);

BitLocker en BitLocker To Go (beveiligt gegevens op pc‟s en verwisselbare

stations);

AppLocker (software-restrictie op basis van policy);

VDI-optimalisatie (verbetert de gebruikerservaring voor VDI met RDP 7).

Servers

Alle servers gaan over naar de nieuwste server besturingssysteem van Microsoft, Windows

Server 2008 R2. Niet alleen omdat het een vereiste is voor DirectAccess maar ook vanwege

de vele verbeteringen die het besturingssysteem bevat ten opzichte van zijn voorgangers.

Beheer

System Center Configuration Manager 2007 (SCCM) zal dienen voor het beheren van de

werkstations. SCCM biedt een oplossing voor volledige toegang, installatie en het updaten

van servers, clients en apparaten die fysiek, virtueel of in een gedistribueerde of mobiele

omgevingen werken. Het kan Motiv inzicht in en controle over het netwerk geven.

Page 29: Motiv Secure Desktop

October 13, 2010 Oplossing

29 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

In de “Magic Quadrant for PC Life Cycle Configuration Management, 2009” van Gartner is

Microsoft met SCCM één van de leaders op het gebied van configuratie management. Dit

geeft aan dat het om een zeer degelijk en volwassen product gaat.

SCCM heeft een aantal tools, die voor de volgende oplossingen kan zorgen:

Het distribueren en updaten van applicaties voor desktops, servers, laptops en

mobiele apparaten over het netwerk;

Zorgen dat de netwerkcomponenten voldoen aan de gewenste configuratie

instellingen en het verbeteren van beschikbaarheid van de systemen;

Continu inzicht geven in wat voor hardware en software middelen er gebruikt wordt,

wie er gebruik van maakt en waar ze zijn;

Het distribueren van App-V packages.

Applicaties

Applicaties worden gevirtualiseerd met App-V van Microsoft. Gebruikers krijgen applicaties

vanaf het SCCM toegewezen.

Virtuele desktop

De gebruikers die geen laptop hebben, werken vanaf een thin client. De voordelen van een

thin client zijn ten eerste dat ze in aanschafprijs goedkoper zijn. Ten tweede staat de desktop

op een centrale server die centraal beheert wordt.

Compleet overzicht

9-1: Technische ontwerp.

Page 30: Motiv Secure Desktop

October 13, 2010 Oplossing

30 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

9.3 Fasering

Optimalisatie vergt aanpassing aan of uitbreiding van het huidige (interne) netwerk

infrastructuur. Voor bijvoorbeeld het implementeren van DirectAccess dient de infrastructuur

op basis van IPv6 te zijn. Voor de VDI-host moet er hardware aangeschaft worden.

Applicaties moeten worden gevirtualiseerd. En de clients moeten gemigreerd worden naar

Windows 7. Dit zijn zaken die niet allemaal direct te realiseren zijn.

From Basic to Dynamic

Voor het maken van een faseringsplan is enigszins gebruik gemaakt van het infrastructuur

optimalisatiemodel (IO-model) van Microsoft. Het IO-model kent vier volwassenheidsfases.

De volwassenheidsfases zijn „Basic‟, „Standardized‟, „Rationalized‟ en „Dynamic‟. Zie

onderstaande figuur (9-2) voor een overzicht van de vier volwassenheidsfases.

Figuur 9-2: Volwassenheidsfases van het Microsoft IO-Model (Bron: Microsoft).

Het uitgangspunt is om een „Basic‟ omgeving dusdanig te optimaliseren dat het door groeit

naar een „Dynamic‟ omgeving. Bij „Dynamic‟ heeft de IT volgens het model een strategische

positie binnen de organisatie. Gebruikers en gegevens zijn geïntegreerd, processen

geautomatiseerd, medewerkers kunnen mobiel werken en de kosten blijven onder controle.

De eerste stap is om de huidige „Basic‟ omgeving te verbeteren dat het over stapt naar een

„Dynamic‟ omgeving.

De fase ‟standardized„ binnen infrastructuur optimalisatie introduceert controles via

standaarden en beleid voor het beheer van desktops en servers:

Een gedeelte van de eindgebruikers zal overstappen naar Windows 7;

De omgeving is eenvoudiger te beheren en te controleren, dit wordt mogelijk gemaakt

door System Center Configuration Manager;

Een (nog te bepalen) aantal applicaties worden gevirtualiseerd;

De RD Web Access server wordt gebruikt voor het benaderen

De waarde van basisstandaarden en –beleid wordt erkend door de organisatie maar

wordt nog niet compleet uitgevoerd.

Page 31: Motiv Secure Desktop

October 13, 2010 Implementatie

31 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

9-3: Overzicht optimalisatieplan.

Page 32: Motiv Secure Desktop

October 13, 2010 Implementatie

32 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

10. IMPLEMENTATIE

Dit hoofdstuk beschrijft het implementatieproces, dat als doel heeft om van een Basic

omgeving naar een Standardized omgeving te gaan.

10.1. Ontwerp

Vanwege het feit dat het om een gedeelte van de voorgestelde oplossing gaat, was het

noodzakelijk om een nieuw technisch ontwerp te maken dat alleen de componenten bevat

die daadwerkelijk geïmplementeerd worden. Zie figuur 10-1 voor het ontwerp.

Figuur 10-1: Ontwerp van de eerste fase

10.2. Componenten

Juniper SA

De Juniper SA was bij aanvang niet in het ontwerp maar is door Motiv als noodzakelijk

bevonden. Dit omdat RD Web Access nog geen two-factor-authentication ondersteunt (met

uitzondering van smartcard). Het gaat tegen het interne beleid om een Windows [web]

Server direct aan het internet te “hangen” zonder tussenkomst van een “secure access

controller”.

RD Web Access

De RD Web Access server is opgezet achter de Juniper SA en is via een https verbinding

over het internet benaderbaar. Applicaties die op de Session Host geïnstalleerd zijn vanaf elk

willekeurige locatie te benaderen.

Page 33: Motiv Secure Desktop

October 13, 2010 Conclusie en discussie

33 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

10.3. Toegevoegde waarde

RD Web Access

Remote Desktop Web Access stelt gebruikers in staat om via RemoteApp (alleen in

Windows 7) of via het web browser bedrijfsapplicaties en Remote Desktop Services op te

starten.

RemoteApp: is een feature die alleen in Windows 7 zit waarmee gebruikers applicaties vanaf

een externe locatie kunnen ophalen via Remote Desktop Services. De applicaties gedragen

zich alsof ze op de lokale computer van gebruiker worden uitgevoerd.

Figuur 10-2: RD Web Access webpagina.

Page 34: Motiv Secure Desktop

October 13, 2010 Conclusie en discussie

34 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

11. CONCLUSIE EN DISCUSSIE

11.1 Conclusie

VDI is een uitstekende oplossing maar heeft als beperking dat het offline werken nog niet

optimaal is. Het brengt ook enorm hoge kosten met zich mee. Zo moeten er hoge

investeringen gedaan worden in hardware (resource). Er moeten ook nog eens extra

licenties (VDA) aangeschaft worden voor een aanzienlijk bedrag per gebruiker per jaar. Deze

kosten worden pas terugverdiend op het moment dat er een compleet nieuwe applicatie- en

desktopbeleid is.

De huidige vorm van RDS is een prima alternatief voor VDI, maar is niet wenselijk voor

“zware” en veeleisende gebruikers. Aangezien er binnen Motiv een hoog percentage tot die

groep toehoort, is het geen reële oplossing.

DirectAccess biedt dezelfde mogelijkheden als desktopvirtualisatie, maar dan zonder al te

hoge investeringen. Medewerkers kunnen op een eenvoudige en transparante manier vanaf

elk willekeurige locatie werken met alle bedrijfsinformatie tot hun beschikking. Veiligheid

wordt gegarandeerd door IPsec over een IPv6 verbinding in combinatie met een Netwerk

Access Protection. Bij het onderzoek naar de implementatie van DirectAccess, is gebleken

dat het geen eenvoudige opgave is. Er zijn nogal wat aanpassingen die gedaan moeten

worden aan de infrastructuur. Vandaar dat er gekozen is voor een gedeeltelijke oplossing

voor taakgerichte gebruikers en telewerkers(zonder laptop) die met behulp van RDS via RD

Web kunnen telewerken. Het is de eerste stap naar een geoptimaliseerde werkplek.

11.2 Discussie

Zo is gebleken dat desktopvirtualisatie niet de enige oplossing is voor de probleemstelling.

Daarnaast bleek het oplossen van de probleemstelling toch een ingewikkelder opdracht dan

vooraf werd verwacht. Het invoeren van een nieuwe manier van werken voor de gebruikers

en een efficiënter manier van beheer voor de beheerders eist toch meer tijd en

betrokkenheid van alle partijen.

Al met al kan deze afstudeeropdracht gezien worden als de eerste stap van Motiv richting

een dynamische werkomgeving die niet locatiegebonden is.

Het virtualiseren van applicaties speelt een belangrijke rol bij het creëren van een

geoptimaliseerde werkplek omgeving. Bij aanvang van de opdracht was hier geen voldoende

besef van. Het virtualiseren van de applicaties (bij een organisatie) kan op zich zelf een heel

project zijn. Het is weliswaar wel globaal meegenomen in het onderzoek, maar de diepgang

is achterwege gelaten, vanwege tijdgebrek en de omvang.

In dit onderzoek is de focus, na de inventarisatie, te snel gelegd op de mogelijke oplossingen

die er waren, zonder dat het (huidige en toekomstige)desktopbeleid duidelijk is gebracht.

Strategische keuzes zijn achterwege gelaten, terwijl dit zeer essentieel is voor het realiseren

van een geoptimaliseerde desktop omgeving (vooral op lange termijn).

Page 35: Motiv Secure Desktop

October 13, 2010 Verklarende woordenlijst

35 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Hoe ver is Motiv bereid te gaan met virtualisatie? Dit is één van de strategische vragen die

beantwoord zou moeten worden.

Page 36: Motiv Secure Desktop

October 13, 2010 Verklarende woordenlijst

36 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

VERKLARENDE WOORDENLIJST

Fat client

Een Fat Cliënt kan elk “normale” computersysteem zijn.

GUI

GUI is een Engelse afkorting voor Graphical User Interface, of grafische gebruikersinterface,

de interface die gebruikt wordt door een gebruiker om programma's te bedienen.

Hypervisior

In de informatica wordt met een hypervisor of virtual machine monitor een opstelling

aangegeven die ertoe dient om meerdere besturingssystemen tegelijkertijd op een host

computer te laten draaien.

Proof-of-Concept

Een Proof-of-Concept (kortweg PoC) is een basisimplementatie om aan te tonen dat een

oplossing(en) in de praktijk werkt.

RDS

Remote Desktop Services (RDS) is een vorm van desktopvirtualisatie, staat ook bekend als

Termical Services. Het is sessievirtualisatie. Bij sessievirtualisatie maakt een gebruiker een

verbinding naar een server. De resources op de server worden gedeeld (met andere

gebruikers).

RDSH

Remote Desktop Session Host (RDSH) is een server die applicaties op complete desktops

host (ook bekend als de Terminal Server). Een client kan zo een host benaderen via Remote

Desktop Connection. Op de RDSH server draait RDS.

RDVH

Remote Desktop Virtualization Host (RDVH) kan dusdanig geconfigureerd worden dat elke

gebruiker een unieke host (complete virtuele machine) op de server toegewezen krijgt. Een

gebruiker kan ook een machine toegewezen krijgen uit een pool van virtuele machines.

RDVH is een server die opgezet is voor het gebruik van VDI (zie uitleg VDI).

Resource

In dit verslag wordt met resources hardware componenten bedoeld zoals harde schijf,

geheugen modules en processoren.

Smartcard

Een smartcard is een plastic kaartje met een computerchip. Men gebruikt een smartcard

samen met pincodes om zich aan te melden op een netwerk, een computer of een apparaat.

Terminal server

Page 37: Motiv Secure Desktop

October 13, 2010 Bronnen

37 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Een terminal server is een computersysteem waarop meerdere applicaties geïnstalleerd zijn.

Meerdere gebruikers maken gelijktijdig gebruik van dezelfde programma‟s die op een

terminal server zijn geïnstalleerd. Met een gewoon computersysteem of zogenaamde thin

client kan men verbinding maken met een terminal server. Dit kan zowel via het lokale

netwerk als via internet.

Thin Client

Een thin client is een computersysteem dat zelf over zeer weinig bronnen (resource) beschikt

en zeer sterk afhankelijk is van de server, die het verwerken van data voor zijn rekening

neemt.

Two-factor-authentication

Bij two-factor-authenticatie heeft (krijgt) men iets en weet men iets. Het is te vergelijken met

Internet bankieren. Men heeft iets (een pas en een paslezer) en men u weet iets

(wachtwoord).

VDI

Virtual Desktop Infrastructuur (VDI) is een vorm van desktopvirtualisatie. Bij VDI maakt een

gebruiker een verbinding naar een complete virtuele machine (VM) die op een server draait.

Zero Client

Een zero client is een superklein computersysteem, maar dan zonder geheugen, processor,

software en harde schijf. Wat het apparaatje wel heeft, is een netwerkaansluiting, VGA-

uitgang, USB-poort voor een muis en audio-aansluitingen.

Page 38: Motiv Secure Desktop

October 13, 2010 Bronnen

38 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

BRONNEN

Boeken

Dale Vile, Tony Lock, Martin Atherton en Jon Collins. Desktop Virtualization for Dummies.

Gepubliceerd door John Wiley & Sons, Ltd (2010).

Mitch Tullock with the Microsoft Virtualization Teams. Understanding Microsoft

Virtualization Solution 2: From the Desktop to the Datacenter. Gepubliceerd door

Microsoft Press (2010).

Introducing Windows Server 2008 R2, Charlie Russel and Craig Zacker with the Windows

Server Team at Microsoft. Gepubliceerd door Microsoft Press (2010).

Internet pagina‟s

Microsoft virtualisatieproducten en technologieën. Geraadpleegd in juli 2010,

http://www.microsoft.com/netherlands/virtualisatie/products/desktop/default.mspx

Applicatievirtualisatie. Geraadpleegd in juli 2010.

http://www.microsoft.com/windows/enterprise/products/mdop/app-v.aspx

VMware View 4.0. Geraadpleegd in juli 2010, http://www.vmware.com/products/view/

Over DirectAccess in Winodws Server 2008 R2. Geraadpleegd in augustus 2010,

http://www.microsoft.com/windowsserver2008/en/us/directaccess.aspx

Microsoft infrastructuur optimalisatie model. Geraadpleegd in september 2010,

http://www.microsoft.com/netherlands/partnercms/io/hetmodel/default.aspx

Deploying RDS Web Access and RDS RemoteApp. Geraadpleegd in augustus 2010,

http://www.networkworld.com/community/node/49566

Artikelen

Licensing Windows for Virtual Desktops, Microsoft (2010).

Microsoft Application Virtualization: Cost Reduction Study, Microsoft (2009)

Solving the Desktop Dilemma – with user-centric desktop virtualization for the enterprise,

gepubliceerd door VMware Inc (2010).

VMware View 4: Built for Desktops, VMware Inc (2009).

Optimaliseer uw basisinfrasctuctuur:Dynamische IT voor Het Nieuwe Werken, Microsoft

(2008-2009).

Page 39: Motiv Secure Desktop

October 13, 2010 Bijlagen

39 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

BIJLAGEN

Bijlage I: Vergelijking gebruikers groepen.

Bijlage II: Vergelijkingstabel werkvormen.

Bijlage III: Vergelijkingsschema Microsoft en VMware.

Page 40: Motiv Secure Desktop

October 13, 2010 Bijlage I: Vergelijking gebruikers groepen

40 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

BIJLAGE I: VERGELIJKING GEBRUIKERS GROEPEN

Gebruikers

groep

Fle

xib

ilite

it

Ge

bru

ike

rsg

em

ak

Be

schik

baa

rhe

id

Be

veili

gin

g

Offlin

e t

oeg

an

g

Pre

sta

tie

verm

oge

n

Eventuele

oplossing

Inside Sales * * ** ** * * RDS

Business Line

Management *** * ** *** * ** VDI

Security

Consultancy ** * ** *** *** ** DirectAccess

ITEM NEEDED Flexibiliteit: Acces anytime, anywhere and on any device Gebruikersgemak: Beschikbaarheid: Beveiliging: Offline toegang: Prestatie vermogen:

Overal het zelfde desktop ervaring en single sign-on Uptime Token authenticatie om in te loggen Documenten benaderen zonder internet verbinding Zware applicaties zonder problemen kunnen draaien

Page 41: Motiv Secure Desktop

October 13, 2010 Bijlage II: Vergelijking tabel werkvormen

41 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

BIJLAGE II: VERGELIJKING TABEL WERKVORMEN

RDSH* RDVH** pooled

RDVH** personal

Lokaal

Gebruikers Concentratie

Hoog Midden Laag -

Applicatie Prestaties Laag tot Hoog Laag tot Hoog Laag tot Hoog Hoog

Applicatie Compatibiliteit

Middelmatig Hoog Hoog Hoogst

Software Ondersteuning

Midden Heel hoog Heel hoog Hoogst

Single Sign-on Moeilijk Moeilijk Moeilijk Moeilijk

Beheer Gebruikersprofiel

Midden Midden Midden tot moeilijk

Eenvoudig

Licentie Beheer Midden Moeilijk Midden Midden

Toegang Beheer Heel Goed Goed Middelmatig Slecht

Data Beveiliging Centraal Centraal Centraal Lokaal

Load Balancing Heel Goed Middelmatig tot Goed

Middelmatig tot Slecht

-

Deskop Template Heel Goed Goed Middelmatig Slecht

Randapparatuur Middelmatig tot Slecht

Middelmatig tot Goed

Middelmatig tot Goed

Heel Goed

Thin Client Integratie Heel Goed Goed Goed -

Offline Gebruik Nvt Nvt In Opkomst Heel Goed

Bandbreedte Gebruik Midden tot Hoog

Hoog Hoog Nihil

* RDSH= Remote Desktop Session Host

** RDVH= Remote Desktop Virtualization Host

Page 42: Motiv Secure Desktop

October 13, 2010 Bijlage III: VDI vergelijkingsschema

42 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

BIJLAGE III: VDI VERGELIJKINGSSCHEMA

Microsoft VDI VMware View

User Experience

Connect Client Drives at logon √ RDP

Connect Client Printers at logon √ √

Connect Client COM ports at logon √ √

Microphone support √ √

Speaker support √ √

VoIP; Bi-directional audio LAN (11kbps each way) √ X

VoIP; Bi-directional audio WAN; (11kbps each way)

X X

USB device support; USB hub – Full USB X X

USB device support; USB 2.0 isochronous X X

USB Camera (Mass Storage Device) √ X

Clipboard re-direction; files-folders √ X

Twain (scanner) device support √ √

Client-to-server Folder redirection X X

Client time zone redirection X X

Regional settings redirection X √

Webcam support (LAN) X X

Webcam support (WAN); latency reduction and bandwidth compression

X X

Audio codec - System sounds (22Kbps) √ √

Audio codec - Optimized for Speech (34kbps) √ √

Audio codec - HQ audio (192Kbps) √ √

Adobe Flash support; server-side rendered √ PCoIP

Adobe Flash support; client-side rendering X RDP

Server-side content/flash fetching √ √

Client-side content/flash fetching X X

Multimedia (A/V) redirection; server-side rendering √ PCoIP

Multimedia (A/V) redirection; client-side rendering √ RDP

2D/3D Progressive Display √ PCoIP

Network latency masking / reduction X X

Connect network printers with vDesktop policies X X

ClearType fonts support √ √

Aero support (Win7) √ X

32-bit color support √ √

Multi-monitor support √ √

Full-HD support (1920x1200) per monitor √ √

Page 43: Motiv Secure Desktop

October 13, 2010 Bijlage III: VDI vergelijkingsschema

43 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Maximum resolution ≤ 4096 x 2048 √ RDP

2560*1600 √ √

1920*1200 √ √

Auto-resize user desktop X PCoIP

Single Sign-on from Windows endpoint to vDesktop

X √

Supported Remote Display Protocols

Microsoft RDP 6.1 √ √

Microsoft RDP 7.0 √ X

Microsoft RDP 7.1 (RemoteFX) √ X

VMware / Teradici PCoIP X √

Management

User Profiel Management X X

Bandwidth/resource management: printing X √

Universal printer driver: EMF support √ √

Manage client drive redirection √ √

Manage client USB redirection X X

Security and Networking

Integrates (SSO) with Juniper SSL-VPN X √

Integrates (SSO) with Microsoft IAG/UAG √ X

Two-factor authentication-RSA Secure ID √ √

Two-factor authentication-SMS passcode support X X

Two-factor authentication-Full Radius / IAS support √ X

SSL Tunneling through Security Server √ RDP

Client device location awareness X √

Smartcard pass-through support X ~

Smartcard logon support √ ~

Remoting Protocol network traffic shaping √ RDP

Remoting Protocol network QoS √ RDP

VDI Desktop Assignment

Integrated with AD √ √

Multi-AD support X √

Based on AD group √ √

Based on AD user √ √

Based on AD OU X X

Based on Device Name X X

Based on Device Address X X

Restrict access based on time/location/device X X

Desktop Provioning

Imaging delivery through SAN √ √

Statefull; assigned/private images √ √

Stateless; pooled/standard images √ √

Automatic creation of desktops X √

Page 44: Motiv Secure Desktop

October 13, 2010 Bijlage III: VDI vergelijkingsschema

44 Motiv Secure Desktop Gino Manuel - 0785017 Hogeschool Rotterdam

Provision Desktops across multiple data stores X √

Single disk image build-in X √

Single disk image 3rd party X √

Physical desktops / Blade PCs X √

Internet Browser support for web based access to vDesktop

IE 7.x √ RDP

IE 8.x √ X

Mozilla Firefox 3.x X X

Google Chrome X X

Java client X √

Virtual Infrastructuur (hypervisor) support

VM vSphere 4.0 X √

Microsoft Hyper-V R2 √ X

Connection Broker/ Services

Integrated Load balancing X X

High Availability by design √ X

Centralized management console √ √

Web-based management interface X √

Microsoft Management Console Interface √ X

Console supports multiple concurrent administrators

√ √

VM pool management √ √

VM power management ~ X

Connection Broker/ Services OS support

Microsoft Windows Server 2003 R2 X X

Microsoft Windows Server 2003 R2-64-bit X √

Microsoft Windows Server 2008 X X

Microsoft Windows Server 2008 64-bit X X

Microsoft Windows Server 2008 R2 64-bit √ X

Database OS support

Microsoft SQL Server 2005 Express Edition √ √

Microsoft SQL Server 2005 √ √

Microsoft SQL Server 2008 √ √

Microsoft Access X X

Licenses

No external license server required √ √

Concurrent user/desktop licenses X √

Per device licenses √ X

Grace period √ X