Win 2008r2 + Hyper-V + RDP
 

Доброго времени суток. Надеюсь здесь получить ответы на свои вопросы от грамотных, знающих людей. Ибо закалибался уже интернет шерстить. На данный момент в нете комплексного решения моей задачи не нашёл.

Идея: ПК юзеров в офисе со всей конфиденциальной инфой должны находиться вне офиса (Не просто документы, а все ПО + Outlook + Photoshop + рабочий стол)

Решение: Итак запланировал сервак на Win 2008 где будут крутиться Виртуальные машины (6 шт.) под Hyper-V. Они объединяются в виртуальную локальную сеть, между собой взаимодействуют. Клиенты с любого места подключаются по RDP (Remote Desktop Protocol) и работают на виртуальной машине.

Железо: Т.к. Денег мало собралось всё это на десктопном железе (X58, Core-i7 930, 18gb ram, три хороших сетевушки intel, RAID 10 на onboard чипсете 4x WD RE3)

Что я умею:

1. Итак Win 2008 R2 Enterprise заинстален. Активирован. Обновления проглотил все.
2. Подняты службы Hyper-V.
3. Подняты службы терминалов.
4. Активирован сервер лицензирования служб терминалов.
5. Заинсталена одна тестовая виртуальная машина в Hyper-V. Машина прикручена к другой сетевухе (как внешная сеть)
6. Расшарен интернет для вирт. машины (всё работает)

ПРОБЛЕМА!! Достучатся до виртуальной машины можно только двойным сеансом RDP, ведь статический IP только у сервера на внешней локалке (та что от провайдера) Затем запускаю ещё один сеанс RDP и тогда вижу виртуалку. НО ТАК НЕ ГОДИТСЯ.

Вычитав в инете нашёл два решения вопроса.
1. Клиенты с офиса создают VPN и подключаются во внутреннюю сеть сервера с вирт. машинами. И там просто запускают RDP сеанс.
2. Доступ к виртуальным машинам через TS Web Access (реализацию этого механизма вообще не понимаю)

Всё дело в том что ни со службами IIS, ни DNS сервером, Ни с Active Directory Я никогда не работал. Смотрю как баран на новые ворота на всё это. Когда пытаюсь добавить службу TS Web Access - она ругается что нужна роль DNS - та просит IIS - та просит в свою очередь Active Directory.

Короче я просто прозрел. Кто подскажет конкретный план развёртывания либо VPN коннекта, либо Web access.

Логикой понимаю что проще на сервере поднять VPN - но это делается в роли IIS и DNS должен кажется быть. (в интернете пока только некоторые пошаговые руководства по отдельным кускам по win 2008. Из литературы пока только одна коротенькая книжечка на русском.)

Прошу не ругать за многословие.

RRAS и портмап.
нет, для VPN не нужен ни IIS ни AD ни DNS.
в вашем случае, как мне кажется, самым простым способом будет поднять службу "маршрутизация и удалёный доступ" и сдлеать переназначение портов примерно так (это образец):
:4001 -> VM1:3389
:4002 -> VM2:3389
:4003 -> VM3:3389
:4004 -> VM4:3389
и тд.
не очень изящно, но рабоче.
или же поднять эту же службу и использовать VPN.
P.S.
у куда бэкапите?

Ну RAID 10 бэкапить не надо. Главное дрова поставить Intel rapid storage версии 9.6 - тогда RAID не слетает.
А виртуалки будут стандартными сдедствами бэкапится (Hyper-V умеет делать снимки системы.)

По поводу диска С с системой пока бэкап не придумал (Раньше из под DOS просто делал образ диска или всего харда с помощью Ghost (по моему сейчас symantec принадлежит) Но RAID с под доса не увидишь. Так что пока не придумал.

В windows 7 есть резервирование и откат системы - довольно удобная штучка. Но в 2008 не нашёл сею фичу.

фееричная чушь.
как вам угодно.
мде, а дрова в ghost Добавить не судьба?..
автоматизации 0.

там за это отвечает целый компонент "Возможности архивации данных Windows Server"

Ну то что два харда в один день слетит это нереально (плюс 10 раид позволяет что бы два харда летели, главное что бы они были в разных зеркалах)


Расскажите зачем 10 RAID из четырёх хардов бэкапить надо?

RAID=/бэкап.
это нужно понимать.
кстати, судя по конфигу "сервера" там обычный десктопный кузов.. чем охлаждаете винты?.
raid никто не бэкапит, бекапят данные.
ещё, умные люди используют такую штуку как HotSpare.
(бортовой интел её тоже поддерживает)

С кузовом всё в порядке Chieftec башня 70 см. На каждый хард дует по пропеллеру (сквозной продув хардов в отдельной части корпуса)


ААА понял. Вы имеете ввиду зацепить ещё один винт мимо RAID и тут автобэкапы сливать переодически.....это мысль надо подумать.

А кто то разворачивал и настраивал TS Web access??

Проброс портов работает Большое спасибо.

Но проявился самый неприятный момент как при двойном RDP - двойная мышка (или шлейф от нее)

Думается мне, что проброс портов тоже самое, что и двойной RDP

Не подскажите как избавиться от дефекта мышки? (в виртуальной машине с настройками указателя игрался как угодно - эффект не убирается)

Всё проблема с мышью решена - всем на заметку. Схема мыши должна быть стандартная win на всех ступенях RDP (клиент-сервер-вирт. машина)


тогда всё плавненько.

А Вы лицензионный WinServer приобретали? И зачем Enterprise (в указанной ситуации эта редакция не дает никаких плюсов по сравнению с Standart). Для экономии денежных средств можно рассмотреть вариант развертывания VMware ESXi.

Установление VPN-подключения к серверу все же более целесообразный путь, т.к. в отличие от простого проброса портов, он обеспечивает определенный уровень безопасности.

VPN можно развернуть как на базе RRAS, так и на базе бесплатных решений типа OpenVPN или аппаратных шлюзов, типа Dlink DIR-130, Zyxel zywall и т.п. Или хотя бы на IPSec, если удаленные компьютеры его поддерживают.

Backup - как показывает практика внедрения конфигураций "один сервер", резервное копирование неплохо осуществляется на прицепленный USB-диск (полноразмерные диски 5,25"" стоят очень недорого).

alik_n
А я так и не понял, а зачем вам там терминал нужен?
и еще, в качестве совета - рекомендую если есть возможность дополнительно приобрести и поставить еще сетевых адаптеров, можно двухпортовый тот же интел, потому что для шести виртуальных машин и хоста, трех адаптеров (пусть и хороших) на мой взгляд недостаточно

А как Вы думаете? Если сервак собран на декстопной платформе, т.к. денег на полноценное железо нет.

по поводу VPN в RRAS сегодня попробую настроить. Просто никогда не создавал VPN соединение. Т.е. делал ВПН но на обычном ПК настраивая интет от провайдера.
А здесь я так понимаю надо поднимать VPN сервер - регистрировать ВПН пользователей. Никогда этого не делал.

смотрел я VMware ESXi . Скажем так - в данной ситуации win2008 с ролью Hyper-V более приемлемо чем VMware + сверху Win2008 + виртуалки клиентские.

А как ещё клиент будет работать на виртуальной машине находящейся в другом конце света из своего дома? В лучшем случае канал связи будет несколько Метров.

Только RDP с таких условиях сможет работать без тормозов. Проверено Zanussi :)

Просто запускать приложения, необходимые клиенту под win 2008 не подходит т.к. Нужны не просто приложения а полноценная среда для юзвера. Т.к. Он и в нете будет лазить и своеобразные приложения, которые только под XP живут + outlook с файлом почты весом в 3-5 GB + машина может заразиться вирусами

А Hyper-V изолированная среда

alik_n,
Вы создаете виртуальные машины, которые так или иначе (проброс портов, vpn, etc) будут доступны снаружи по RDP. Каждая со своим ип и единственным одномоментным доступом
Причем тут терминал? И тем более активированный сервер лицензирования служб терминалов!? Или вы собираететсь еще в дополнение к Hyper-v размещать на хосте рабочие столы пользователям ?

Для w2008, на который вы хотите поставить шесть виртуалок - да, нужны дополнительные лицензии (бесплатно только две или четыре виртуалки, в зависимости от версии сервера, впрочем если у вас w2008 датацентр, то количество виртуальных машин на Hyper -v можно делать неограниченно. У вас датацентр?), но к терминалу и серверу лицензирования это разве имеет отношение?

Кстати не хочу огорчать:), но на сколько мне по умным книжкам помнится Энтерпрайс поддерживает 4 ВМ на хост машине. А решение про мапинг самое лучшее в твоем случае,

Камерон:) ты первая девушка админ, которую я видел в своей жизни) по крайней мере по майкрософт!
Снимаю шляпу и читаю твои посты:)

Задача уже решена.

Реализовал так. Hyper-V 8 машин на виртуальной сетевухе. Внутри NAT роутит всё.

Снаружи клиенты подключаются по VPN к серверу и потом прыгают по RDP


слышал про ограничения виртуалок - 4 штуки. Вчера проверил запустил одновременно 5шт.-winXP + 3шт.-win7 всё работает.


Короче по моему получилось работоспособно, стабильно и мне нравиться.

Количество запускаемых виртуальных машин ограниченно только ресурсами сервера. Ограничение в 4 машины связаны с лицензированием:
•одна лицензия Windows Server 2008 Enterprise дает возможность использовать один запущенный экземпляр на одном физическом сервере И еще до четырех запущенных экземпляров ОС в виртуальных машинах на этом сервере.

Всем привет.

Решаю сечас подобную задачу ...
Как-то так получилось что есть железо, есть софт ... а ничего не используется ...
Работаю в коллежде ...

Вобщем у нас есть:
1. сервер - 2 проца(intel xeon), 12 Gb DD3, RAID ( 4 x 300Gb 1,5k оборотов), RAID ( 8 x 1Tb ), 4 LAN / WinServ 2k8 R2
2. сервер - 2 проца(intel xeon), 12 Gb DD3, RAID ( 4 x 300Gb), RAID ( 8 x 1Tb ), 4 LAN / WinServ 2k8 R2
3. сервер - 1 проц(intel xeon), 32 Gb DD3, RAID ( 4 x 1Tb ), 2 LAN / WinServ 2k8 R2
4. Лицензии на все что только может понадобтся в большом кол-ве ...

На данный момент на первом серваке поднят AD для студов ... в одну сетевуху воткнута локалка, во сторую и-нет(у нас 4 ип адреса)
На третьем подня NAT (Kerio WinRoute) ...

А теперь собственно что я хочу: загнать бугалтерию в домен(6 юзеров), и дать им виртуальные рачие столы на вин7 или винХР...

А вот что мне непонятно:
1. подскажите, хватит ли сервера №1 для AD, DNS и 6 виртуальных машин?
2. не понимаю как настраивать виртуальную сеть, нехватат знаний (
3. на какой сетевой интерфейс повесить виртуальную сеть?
4. и стотит ли пихать на один сервер АД и виртуальные машины?
5. как быть с лецензированием виртульных машин? на каждую нужен будет ключик?
6. что лучше использовать для виртульных рачих столов, 7 или ХР?
7. и не доконца понимаю как сделать так чтобы на виртульных машинах юзера авторизовались с ипользованием своих учетных данных в домене...

а теперь почему я хочу почти все впихать на один сервер: на второй надо будет бросить какой-то непонятный электронный журнал ... и возможно еще что-то ... на дынный момент на неего складываются бэкапы ....
А виртульные машины для бугалтерии нужны, потому что, у них свои компы слабенькие ...

С нетерпением джу ваших ответов! =)

В вашем случае я бы поднял один вирутальный сервер, установил на него сервер терминалов и необходимое бухгалтерское ПО. Будет проще и дешевле.

Я думал на эту тему ...
Насчет проще, согласен ....
Насчет дешевле, а мне без разницы ... лецензионный софт есть для обоих сценариев ...

Если так, то на этот сервер помойму лучше поставить WinServer 2k8 ... или нет?

Но все равно, вопрос про виртуальную сеть остается открытым ...

В Вашем случае нужен Remote Desktop Gateway.

Не поленился потратил время на чтение мануалов по Hyper-V ...
Как в итоге выяснилось это очень! полезная штука ...

И я вот что полумал:
1. Поднять на одном серваке сервер виртуализации (Hyper-v) и больше ничего ...
2. Потом поднять 4 виртуальных сервера
на первом: DNS
на втором: AD ( или логичней поставить рядом с DNS? пока не опреелился )
на сретьем: Териминальный сервер
на четветом: Файловый сервер, чтобы хранить там фалы юзеров ( хотя на счет этого сомневаюсь... ), возможно логичней будет бросить их на родительский сервер на котором устанвленна Hyper-V ...

3. Проксю оставить там где она есть сечас ...
4. И один сервак оставить пока незадействованным ...

Вобщем, пожалуйста, помогите спланировать ...
В сети примерно 90 машин ... но одновременной пребывание в онлайне примерно 40+- ... + планируется увеличение общего чила компов примерно до 140 ...

Здравствуйте.
Подскажите по похожей проблеме.
По 2-3 различным инструкциям поднял Hyper-V, создал виртуалку Win7, настроил RDP. Сделал сервер посредником, добавил его же виртуальный сервер, создал пул виртуальных машин (пока из 1 для теста).
Работает так, что если зайти через веб-доступ на самом сервере, то виден пул виртуалок и можно подключиться. НО - зайти с других клиентов на сервер через браузер не получается. Не авторизует ни в какую. Кроме того, как получить возможность видеть пул виртуалок через обычные тонкие клиенты? Простым RDP встроенным.
Все в пределах локалки.