VMware Hands-on Labs - HOL-1791-CHG-1-JA


実習ラボの概要: HOL-1791-CHG-1: Horizon チャレンジ ラボ

実習ラボのガイダンス


注: この実習ラボの所要時間はおよそ 90 分です。1 回あたり 2 ~ 3 モジュールを目安に学習してください。モジュールはそれぞれ独立しているため、どのモジュールからでも開始できます。また、どのような順序で実施してもかまいません。各モジュールには、目次から直接移動できます。デスクトップにある Module Switcher を使用して、選択したモジュールのための環境を準備してください。

目次を表示するには、実習ラボ マニュアルの右上にある [Table of Contents] をクリックします。

実習ラボのモジュールのリスト

 

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

[http://docs.hol.vmware.com]

一部の実習ラボは、英語以外の言語でも提供されています。言語設定を変更して翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの場所

 

  1. 赤枠で囲んだ部分がメイン コンソールです。実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上のタブに別のコンソールが用意されていることがあります。その場合、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. 実習ラボを開始すると、90 分のタイマーが表示されます。この実習ラボは保存できません。実習ラボを開始したら、そのセッション内ですべての作業を完了してください。必要であれば、[EXTEND] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[EXTEND] を 1 回クリックすると、15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[EXTEND] を 1 回クリックすると、1 時間延長されます。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows がアクティベートされていないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つが、仮想マシンを移動して任意のプラットフォームで実行できることです。ハンズオン ラボも、このメリットにより複数のデータセンターから実行できます。ただし、こうしたデータセンターは必ずしも同じタイプのプロセッサを使用しているとは限りません。そのため、インターネットを介して Microsoft のアクティベーション チェックが行われます。

VMware とハンズオン ラボは、Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用いただけます。ご利用の実習ラボは自己完結型のポッドであるため、Windows アクティベーションに必要なインターネットへのフル アクセス権限がありません。アクティベーション チェックの自動プロセスは、インターネットへの完全なアクセスを行わないと失敗します。このようなウォーターマークが表示されるのはそのためです。

実習ラボには影響しません。 

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドをクリック (選択) し、メイン コンソールのアクティブ ウィンドウまで直接ドラッグできます。 

 

 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

 

オンラインの国際キーボードを使用

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

アクティブなコンソール ウィンドウをクリック

 

この例では、メール アドレスに含まれている 「@」 記号をオンライン キーボードから入力します。US 配列のキーボードで 「@」 記号を入力するには、<Shift> + <2> キーを押します。

  1. アクティブなコンソール ウィンドウを 1 回クリックします。
  2. <Shift> キーをクリックします。

 

 

@>キーをクリック

 

  1. <@> キーをクリックします。

これで、アクティブなコンソール ウィンドウに @ 記号が入力されました。

 

Control Center ブラウザ言語設定(日本語)

Firefox ブラウザ言語設定 (日本語表示)


vSphere Web Clientはブラウザベースです。日本語表示するためには、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Firefoxの起動

 

Firefoxアイコンをクリックし、 起動します。

 

 

Firefoxブラウザの日本語化

 

1. ウィンドウ右上のメニューを開きます。

2. [Options]  をクリックします。

 

 

Firefoxブラウザの日本語化

 

左側メニューから [Content] を選択します。

 

 

Firefoxブラウザの日本語化

 

[Languages] の [Choose...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

[Select a language to add...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

1. プルダウンから [Japanese [ja] ] を選択します。

2. [Add] をクリックします。

3. [OK] をクリックします。

4. Firefox を再起動します。

 

Google Chrome ブラウザ言語設定(日本語表示)


vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Google Chrome の起動

 

Google Chrome を起動します。

 

 

Google Chrome のメニューを開く

 

ブラウザウィンドウ右上のメニューを開きます。

 

 

Google Chrome の設定画面を開く

 

[Settings] をクリックします。

 

 

Google Chrome の詳細設定を表示

 

1. 画面を下へスクロールします。

2. [Show advanced settings...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

画面を下へスクロールし、[Language and input setting...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

[Add] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. プルダウンから [Japanese - 日本語] を選択します。

2. [OK] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. 左側 [Languages] 内の [Japanese] を一番上までドラッグで移動させます。

2. [Done] をクリックします。

3. Google Chrome ブラウザを再起動します。

 

モジュール 1: 業務初日: 環境を確認する (30 分)

はじめに


このモジュールの課題は、前任者から引き継いだ Horizon 環境を把握することです。

このモジュールは次のレッスンで構成されています。


 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

Module Switcher の操作方法


Module Switcher ツールを使用してモジュールを起動するには、次の手順に従います。


 

Module Switcher アプリケーションの起動

 

Hands-on Labs Module Switcher が実行されていない場合は、デスクトップにある Module Switcher のアイコンをダブルクリックして起動します。

 

 

モジュール 1 の開始

 

[Module 1] の [Start] ボタンをクリックします。

 

 

モジュールの開始

 

スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続行します。

 

課題 1: インベントリ


このモジュールでは、前任の管理者から引き継いだ Horizon 環境を把握します。Horizon、vSphere、vRealize Operations for Horizon、App Volumes のツールとコンソールを活用して、現在のインフラストラクチャについての理解を深めます。 


 

すべてのリソース、アプリケーション、パフォーマンスなどについて確認します。今後、何が実現可能かについて CEO から助言を求められることになるため、引き継いだ環境を把握しておくことは非常に重要です。ここで確認するアカウント (メイン コンソールのデスクトップにある Readme.txt ファイルにも含まれています) と URL は、これから適切なツールにアクセスしてさまざまな課題を解決する際に必要になります。


 

*** ラボ リソースの制約 ***

リソースの制約があるため、次の仮想マシンと仮想アプライアンスはデフォルトでシャットダウンされています。

 

 

Windows のクイック起動タスク バーから Chrome ブラウザを起動

 

環境を確認するには、Web ブラウザを使用して各種の管理コンソールに接続する必要があります。

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

vSphere 環境の確認

 

vSphere Web Client にログインして、次のコンポーネントの相関関係を確認します。

vSphere Web Client: https://vcsa-01a.corp.local/vsphere-client

  1. [ユーザー名]: administrator@corp.local
  2. [パスワード]: VMware1!
  3. [ログイン] をクリックします。

ヒント: [Windows セッション認証を使用ください] をクリックしてから [Login] ボタンをクリックすると、時間を節約できます。

 

 

ネットワークとセキュリティ (NSX) の確認

 

NSX Manager にログインして、次の作業を行います。

構成を確認するには、vCenter の [Networking & Security] リンクを使用してください。

 

 

Active Directory の確認

 

[Active Directory Users and Computers] にログインして、次の作業を行います。

[Active Directory Users and Computers] コンソールを開くには、次の順に選択します。

  1. [Start] - [All Programs]
  2. [Administrative Tools]
  3. [Active Directory Users and Computers]

Active Directory コンソール: メイン コンソールからアクセス

 

 

vRealize Operations の確認

 

vRealize Operations にログインして、次の作業を行います。

vRealize Operations のコンソールに接続するには、ブックマークを使用するか、https://vrops-01a.corp.localに移動します。

  1. [認証ソース]: ローカル ユーザー
  2. [ユーザ名]: admin
  3. [パスワード]: VMware1!
  4. [ログイン] をクリックします。

 

 

Log Insight の確認

 

Log Insight にログインして、次の作業を行います。

vRealize Log Insight のコンソールに接続するには、ブックマークを使用するか、https://log-01a.corp.localに移動します。

  1. [ユーザー]: admin
  2. [パスワード]: VMware1!
  3. [ログイン] をクリックします。

 

 

View 環境の確認

 

View 管理コンソールにログインして、次の作業を行います。

View 管理コンソール: https://view-01a.corp.local/admin

  1. [ユーザー名]: administrator
  2. [パスワード]: VMware1!
  3. [ドメイン]: CORP
  4. [ログイン] をクリックします。

 

 

Identity Manager コンソールへのログイン

 

Identity Manager コンソールにログインして、次の作業を行います。

 

Identity Manager コンソールに接続するには、ブックマークを使用するか、https://idm-01a.corp.local/adminに移動します。

  1. ユーザー名: admin
  2. パスワード: VMware1!
  3. [ログイン] をクリックします。

 

 

User Environment Manager Console へのログイン

 

User Environment Manager Console にログインして、次の作業を行います。

 

User Environment Manager Console にアクセスするには、メイン コンソールのデスクトップでそのアイコンをダブルクリックします。

***注意:User Environment Manager は設定されていない為、UNC パスの入力を促すプロンプトが表示されます。これは後のラボ(モジュール5)で設定されるため、無視してください。ここでは、現在利用されていないにも関わらずUser Environment Manager にライセンスが付与されていることを確認することが重要です。***

 

 

App Volumes の展開済みアプリケーション スタックの確認

 

App Volumes にログインして、次の作業を行います。

 

App Volumes 管理コンソールに接続するには、ブックマークを使用するか、https://appvolumes-01a.corp.local/horizonadminに移動します。

  1. ユーザー名: administrator
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [ログイン] をクリックします。

 

重要なポイント


環境を確認することで、引き継いだ環境についての理解が深まります。たとえば、前任者によるエンド ユーザー コンピューティング リソースの展開方法に起因する制約や懸念事項を把握できます。


 

まとめ

「モジュール 1: 業務初日: 環境を確認する」 はこれで終了です。実習ラボをご利用いただきありがとうございました。最後にアンケートへのご記入をお願いします。

必ず最新のドキュメントとリリース ノートを確認してください。

http://pubs.vmware.com/horizon-7-view/index.jsp?
http://pubs.vmware.com/Release_Notes/en/horizon-7-view/horizon-70-view-release-notes.html

 

モジュール 2: ユーザーから接続の問題を報告される (30 分)

はじめに


Rainpole 社の仮想デスクトップ インフラストラクチャ (VDI) 管理者になって 2 日目に、最初のサポートの問い合わせがありました。この演習では、エンド ユーザーの一般的な接続の問題を特定し、再現して、解決します。


 

モジュール 1 の復習

この実習ラボのモジュールはそれぞれ独立しており、どのモジュールからでも学習できるように構成されています。ただし、モジュール 1 では、全体的なシナリオと、Rainpole 社での新たな役割 (デスクトップ エンジニアリング責任者) について説明しています。先へ進む前に、モジュール 1 の内容を確認しておくことをお勧めします。

 

 

必要な情報

 

前任者はあまり多くのドキュメントを残していませんが、引き出しの中を調べたところ、次のような 「設計」 が見つかりました。

現在の View 環境は次のとおりです。

この実習ラボの補足事項:

 

 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

Module Switcher の操作方法


Module Switcher ツールを使用してモジュールを起動するには、次の手順に従います。


 

Module Switcher アプリケーションの起動

 

Hands-on Labs Module Switcher が実行されていない場合は、デスクトップにある Module Switcher のアイコンをダブルクリックして起動します。

 

 

モジュール 2 の開始

 

[Module 2] の [Start] ボタンをクリックします。

 

 

前のモジュールの停止

 

モジュール 2 の前に別のモジュールを実行した場合は、そのモジュールの STOP スクリプトが実行されます (図はモジュール 1 の例)。これが最初のモジュールである場合は、このステップは必要ないため、スキップされます。

前のモジュールを停止するスクリプトが完了するまで待ってから、<Enter> キーを押して続行します。

 

 

モジュール 2 の開始

 

モジュール 2 の START スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続行します。これには、数分かかる場合があります。

 

課題 2: 黒い画面の問題


ヘルプ デスクから、ユーザーがデスクトップに接続できず、黒い画面しか表示されないという報告を受けます。このモジュールでは、トラブルシューティングの手法を使用してこの問題を診断し、解決します。


 

黒い画面

仮想デスクトップに接続しようとして黒い画面が表示されたことはありますか。現在、この問題について多くのユーザーから問い合わせを受けています。この問題を手持ちのツールで最も効率的に把握して解決するにはどうすればよいでしょうか。「デスクトップに接続できない」 というクレームを CEO からも受ける前に、何とか対処しなければなりません。

この問題の原因を突き止め、解決策を見つけましょう。さらに、その解決策で仮想デスクトップに正常にログインできることを確認してください。

症状: 黒い画面

 

問題の概要


一部のユーザーから、デスクトップに接続できないという報告を受けました。


 

ユーザー接続が先に進まない

 

一部のユーザーから、「Rainpole Desktop プールを使用してデスクトップに接続しようとするが、いつまで待っても接続できない」 という報告を受けました。

 

 

黒い画面

 

黒い画面が表示されるという報告もあります。この場合、「Rainpole Desktop」 に接続すると、接続が確立されたように見えるが、黒い画面しか表示されません。

 

 

Windows のクイック起動タスク バーから Chrome ブラウザを起動

 

この問題を解決するには、vCenter Web Client から vCenter vcsa-01a.corp.local に接続する必要があります。

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。
  2. ユーザー名 「administrator@corp.local」、パスワード 「VMware1!」 を使用してログインします ([Use Windows session authentication] をオンにすることもできます)。

 

ヒント 1: さまざまなユーザー


エンド ユーザーの接続の問題を解決するには、まず、その問題がすべてのユーザーに影響を与えているか、一部のユーザーにのみ影響を与えているかを確認します。

この例では、次の点について検討する必要があります。

  1. ユーザーはいくつのタイプに分けることができるか
  2. ユーザーのタイプによって接続方法に違いはあるか
  3. 問題を再現できるか

答えを確認するには次のステップに進んでください。


 

ヒント 1: さまざまなユーザー (答え)

エンド ユーザーの接続の問題を解決するには、まず、その問題がすべてのユーザーに影響を与えているか、一部のユーザーにのみ影響を与えているかを確認します。

この例では、次の点について検討する必要があります。

  1. ユーザーはいくつのタイプに分けることができるか

4 つ。接続に PCoIP と Blast を使用する内部ユーザーと外部ユーザー。

  1. ユーザーのタイプによって接続方法に違いはあるか

はい。内部ユーザーは 「view-01a.corp.local」 に接続し、外部ユーザーは 「view.rainpole.com」 に接続します。この例では、表示プロトコル (PCoIP/Blast) はクライアントによって制御されます。

  1. 問題を再現できるか

はい。以降のステップで、内部ユーザーまたは外部ユーザーとして、いずれかの表示プロトコルを選択して View に接続する方法を説明します。

 

 

内部ネットワークからの接続

 

メイン コンソールのデスクトップから、VMware Horizon Client を起動します。

 

 

View Connection Server への接続

 

「view-01a.corp.local」 のアイコンをダブルクリックします。

 

 

CEO としてログイン

 

  1. [User name]: ceo
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

表示プロトコルの選択

 

  1. [Rainpole Desktop] アイコンを右クリックします。
  2. 表示プロトコルを選択します。

[Rainpole Desktop] アイコンをダブルクリックしてデスクトップを起動します。

 

 

外部ネットワークからの接続

 

「External Client」 仮想マシンを使用すると、外部ユーザーとして View 環境に接続できます。vSphere Web Client で、「External Client」 を検索します。

 

 

 

External Client のリモート コンソールの起動

 

[Remote Console を起動] リンクをクリックします。

 

 

VMware Horizon Client の起動

 

External Client のデスクトップから、VMware Horizon Client を起動します。

 

 

VMware EUC Access Point への接続

 

「view.rainpole.com」 のアイコンをダブルクリックします。

 

 

CEO としてログイン

 

  1. [User name]: ceo
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

表示プロトコルの選択

 

  1. [Rainpole Desktop] アイコンを右クリックします。
  2. 表示プロトコルを選択します。

[Rainpole Desktop] アイコンをダブルクリックしてデスクトップを起動します。

 

ヒント 2: 接続プロセス


接続テストの結果はどうなりましたか。

次のような動作が確認されたはずです。

  1. PCoIP を使用している内部ユーザー: 接続の問題なし
  2. Blast を使用している内部ユーザー: 接続の問題なし
  3. PCoIP を使用している外部ユーザー: デスクトップへの接続が先に進まない
  4. Blast を使用している外部ユーザー: 黒い画面

これで、接続の問題が発生しているのは外部ユーザーだけであることがわかりました。では、内部ユーザーと外部ユーザーで接続方法にどのような違いがあるのでしょうか。

さらに、接続プロセスについて考えてみましょう。接続プロセス全体に問題があるのでしょうか。問題なく機能している部分があるとすればどこでしょうか。

このように考えていくと解決策が見えてくるはずですが、これらの問いの答えや、この課題を解決するためのさらなる情報が必要な場合は、次のステップをご覧ください。


 

ヒント 2: 接続プロセス (答え)

接続テストの結果はどうなりましたか。

次のような動作が確認されたはずです。

  1. PCoIP を使用している内部ユーザー: 接続の問題なし
  2. Blast を使用している内部ユーザー: 接続の問題なし
  3. PCoIP を使用している外部ユーザー: デスクトップへの接続が先に進まない
  4. Blast を使用している外部ユーザー: 黒い画面

これで、接続の問題が発生しているのは外部ユーザーだけであることがわかりました。では、内部ユーザーと外部ユーザーで接続方法にどのような違いがあるのでしょうか。

さらに、接続プロセスについて考えてみましょう。接続プロセス全体に問題があるのでしょうか。問題なく機能している部分があるとすればどこでしょうか。

  1. 認証のための Connection Server に接続する (問題なし。ログイン ダイアログが表示されるため、正常に機能していることがわかります)
  2. ユーザーを認証する (問題なし。この例では、Active Directory を使用して認証しています)
  3. 利用可能なデスクトップとアプリケーションを Connection Server に問い合わせる (正常に機能しています)
  4. Connection Server から Horizon Agent に接続する (「デスクトップを利用できない」 こをと知らせるエラーが表示されないため、おそらく問題はありません。View 管理コンソールでさらに確認することもできます)
  5. Horizon Client から Horizon Agent に接続する (仮想デスクトップに完全には接続できないため、明らかに問題があります)

5 つのステップのうち 4 つには問題はありませんが、それだけではエンド ユーザーがデスクトップに接続できないことは明らかです。 

この時点で、問題は接続プロセスのステップ 5 に絞られました。さらなるヒントを確認するには次のステップに進んでください。

 

ヒント 3: 最後のステップ


ここまでで、問題が 1 つに絞り込まれ、何らかの理由で Horizon Client から Horizon Agent に接続できなくなっていることがわかりました。

Client から Agent への接続のフローはどのような要素で構成されているのでしょうか。

それぞれの要素にはどのような役割があるのでしょうか。

これらの要素を特定することで、この問題の解決策が見えてくるはずです。これらの問いの答えを確認するには、次のステップに進んでください。


 

ヒント 3: 最後のステップ (答え)

ここまでで、問題が 1 つに絞り込まれ、何らかの理由で Horizon Client から Horizon Agent に接続できなくなっていることがわかりました。

Client から Agent への接続のフローはどのような要素で構成されているのでしょうか。

  1. Horizon Client
  2. 境界ファイアウォール 1 (中継/DMZ)
  3. Access Point
  4. 境界ファイアウォール 2 (DMZ/内部)
  5. Horizon Agent

それぞれの要素にはどのような役割があるのでしょうか。

解決まであともう少しです。アーキテクチャの詳細を把握することは、問題の原因を特定するのに大いに役立ちます。

この課題を解決するための最後のヒントが必要な場合は、次のステップに進んでください。 

 

 

ヒント 4: 問題のある要素


ここまでで、接続の最後のステップとなる、Horizon Client から Horizon Agent への接続を構成する要素のほとんどに問題がないことがわかりました。

  1. Horizon Client: 認証に成功しているため、問題はありません。
  2. ファイアウォール: 確認が必要です。
  3. Access Point: 認証と利用可能なデスクトップの表示に成功しているため、Connection Server の構成に問題はありません。
  4. Horizon Agent: 内部ユーザーについては接続の問題が発生していないため、Agent から Connection Server への接続に問題はありません。

これで、ファイアウォールの調査が必要なことが明らかになりました。どのようなファイアウォール構成が必要でしょうか。どのポートを開く必要があるのでしょうか。ファイアウォールの構成をチェックするにはどうすればよいのでしょうか。

このような場合はドキュメントが役に立ちます。http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-ap.deploy-config.doc/GUID-F197EB60-3A0C-41DF-8E3E-C99CCBA6A06E.htmlを参照してください。

この問いの答えを確認するには次のステップに進んでください。


 

ヒント 4: 問題のある要素 (答え)

ここまでで、接続の最後のステップとなる、Horizon Client から Horizon Agent への接続を構成する要素のほとんどに問題がないことがわかりました。

  1. Horizon Client: 認証に成功しているため、問題はありません。
  2. ファイアウォール: 確認が必要です。
  3. Access Point: 認証と利用可能なデスクトップの表示に成功しているため、Connection Server の構成に問題はありません。
  4. Horizon Agent: 内部ユーザーについては接続の問題が発生していないため、Agent から Connection Server への接続に問題はありません。

これで、ファイアウォールの調査が必要なことが明らかになりました。どのようなファイアウォール構成が必要でしょうか。どのポートを開く必要があるのでしょうか。ファイアウォールの構成をチェックするにはどうすればよいのでしょうか。

  1. TCP 4172
  2. UDP 4172
  1. TCP 443
  2. UDP 443
  1. TCP 22443
  2. UDP 22443

このような場合はドキュメントが役に立ちます。http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-ap.deploy-config.doc/GUID-F197EB60-3A0C-41DF-8E3E-C99CCBA6A06E.htmlを参照してください。

この問いの答えを確認するには次のステップに進んでください。

 

 

Networking  Security 管理コンソールへの接続

 

  1. vSphere Web Client の [ホーム] アイコンをクリックします。
  2. ドロップダウン メニューから [Networking & Security] を選択します。

 

 

境界ファイアウォールのプロパティを開く

 

  1. 左側の [ナビゲータ] ペインで、[NSX Edges] を選択します。
  2. [edge-3] をダブルクリックして、Perimeter_Firewall のプロパティを開きます。

 

 

ファイアウォール構成

 

[ファイアウォール] タブをクリックして、[ファイアウォール ステータス] が [有効化] になっていることを確認します。

 

 

表示スペースの確保

 

  1. 押しピンをクリックすると、タスク ペインが折りたたまれて、メイン ペインの表示スペースが拡大します。左側のペインも折りたたむと、表示スペースが最大になります。

 

 

縮小表示による表示スペースの確保

 

  1. Chrome の [Google Chrome の設定] メニューを選択します。
  2. [-] ボタンをクリックして、表示を 90 % に縮小します。

これにより、テキストは判読可能なままで、表示スペースを拡大できます。

 

 

ファイアウォール ルール

 

メイン パネルでファイアウォール ルールの一覧を下にスクロールして、「Allow Traffic AP to Agents」 というルールを見つけます。このルールは、その名のとおり、DMZ の Access Point と VDI ネットワークの Agent の間で許可されるトラフィックを制御します。

デスクトップが正常に表示されるようにするには、Access Point と Agent の間で Blast Extreme と PCoIP の UDP トラフィックを許可する必要があります。

許可されるサービスの一覧の右上にカーソルを合わせて (図を参照)、表示される [+] アイコンをクリックしてサービスを追加します。

 

 

必要なサービスの追加

 

  1. [オブジェクト タイプ] が [サービス] に設定されていることを確認します。
  2. [利用可能なオブジェクト] の一覧で、次のサービスを見つけます。
    1. Blast Extreme TCP
    2. Blast Extreme UDP
    3. VMware-View5.x-PCoIP-UDP
  3. 各サービスを一覧で選択し、右矢印ボタンをクリックします。選択したサービスが [選択したオブジェクト] の一覧に追加されます。
  4. [OK] をクリックします。

完了すると、一覧が図のようになります。

 

 

ファイアウォール構成の発行

 

ファイアウォール構成のウィンドウに戻り、[発行] をクリックしてファイアウォール ルールの変更を適用します。

 

結果の確認


ファイアウォール ルールを変更した結果、すべてのユーザーがデスクトップに正常に接続できるようになったことを確認しましょう。

以降のステップでは、接続を確認するために、External Client から CEO として Rainpole Desktop に接続する手順をもう一度説明します。


 

外部ネットワークからの接続

 

「External Client」 仮想マシンを使用すると、外部ユーザーとして View 環境に接続できます。vSphere Web Client で、「External Client」 を検索します。

 

 

 

External Client のリモート コンソールの起動

 

[Remote Console を起動] リンクをクリックします。

 

 

VMware Horizon Client の起動

 

External Client のデスクトップから、VMware Horizon Client を起動します。

 

 

VMware EUC Access Point への接続

 

「view.rainpole.com」 のアイコンをダブルクリックします。

 

 

CEO としてログイン

 

  1. [User name]: ceo
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

表示プロトコルの選択

 

  1. [Rainpole Desktop] アイコンを右クリックします。
  2. 表示プロトコルを選択します。

[Rainpole Desktop] アイコンをダブルクリックしてデスクトップを起動します。

必ず、両方のプロトコル (PCoIP と VMware Blast) でテストしてください。

 

 

接続に成功

 

External Client から、PCoIP と VMware Blast の両方を使用して Rainpole Desktop に接続できるようになりました。

接続を確認したら、デスクトップからサインアウトして Horizon Client を閉じてください。

 

モジュール 3: CEO が vIDM にログインできない (30 分)

はじめに


このモジュールの課題は、CEO (およびその他の経営幹部) が Identity Manager にログインできない問題を解決することです。

このモジュールは次のレッスンで構成されています。


 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

Module Switcher の操作方法


Module Switcher ツールを使用してモジュールを起動するには、次の手順に従います。


 

Module Switcher アプリケーションの起動

 

Hands-on Labs Module Switcher が実行されていない場合は、デスクトップにある Module Switcher のアイコンをダブルクリックして起動します。

 

 

モジュール 3 の開始

 

[Module 3] の [Start] ボタンをクリックします。

 

 

モジュール 2 の停止

 

モジュール 3 の前に別のモジュールを実行した場合は、そのモジュールの STOP スクリプトが実行されます (図はモジュール 2 の例)。これが最初のモジュールである場合は、このステップは必要ないため、スキップされます。

前のモジュールを停止するスクリプトが完了するまで待ってから、<Enter> キーを押して続行します。

 

 

モジュール 3 の開始

 

モジュール 3 の START スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続行します。これには、数分かかる場合があります。

 

課題 3: CEO が VMware Identity Manager にログインできない


あなたが引き継いだ環境には VMware Identity Manager が展開されています。CEO はシングル サインオン サービスを使用するのを楽しみにしていましたが、ログインできなかったため、問題を報告してきました。CEO だけでなく、ほかの経営幹部もログインできないようです。


 

ユーザーのミスである可能性

 

CEO からエラーのスクリーンショットが送られてきました。また、パスワードは正しく入力したこと、同じ認証情報で View デスクトップには問題なくログインできることも報告されました。

 

 

問題の原因の特定

VMware Identity Manager にローカル Admin ユーザーとしてログインして、この問題の原因を突き止めましょう。今回も、前任者はあまり多くの情報を残していません。わかっているのは、VMware Identity Manager に対する管理者アクセスと、Active Directory に対する完全な管理者権限があることだけです。なぜ Identity Manager にログインできないのでしょうか。

 

ヒント 1: Active Directory


問題のユーザーは Active Directory に登録されていますか。


 

[Active Directory Users and Computers] を開く

 

[Start] メニューから次の順に選択します。

 

 

Active Directory の確認

 

1. 問題のユーザーは Active Directory に登録されていますか。

2. 具体的には、CEO やその他の経営幹部は Active Directory のどこに登録されていますか。

 

 

ここでわかったこと

CEO とその他の経営幹部は、Active Directory の 「VDI Users」 という OU に追加されていることがわかりました。この構成の影響を受けるのはどこでしょうか。

 

ヒント 2: Identity Manager の AD 構成


Identity Manager が Active Directory に接続してユーザーとグループのリストを取得する方法を確認します。


 

ローカル Admin ユーザーとして VMware Identity Manager にログイン

 

ドメインに [Local Users] を選択し、「Admin」 ユーザーとして VMware Identity Manager にログインします。パスワードは VMware1! です。

 

 

Active Directory 構成の確認

 

ログインしたら、[ID とアクセス管理] をクリックして構成を確認します。

 

 

corp.local ディレクトリの構成の確認

 

1. ここでは、corp.local がディレクトリとして構成されていることがわかります。

2. このディレクトリが 「Active Directory over LDAP」 として構成されていること、緑色のチェックマークが付いていること、ユーザーとグループが同期されていることなどもわかります。

3. このディレクトリがどのように構成されているのかを確認するために、[corp.local] をクリックします。

 

 

VMware Identity Manager のディレクトリ構成

 

ここでは、Active Directory の構成、認証方法、コネクタの構成などがわかります。接続をテストすることもできます。そのためには、administrator@corp.local のパスワード (VMware1!) を入力して、緑色の [接続をテスト] ボタンをクリックします。いずれも問題はありません。

では、なぜ CEO はログインできないのでしょうか。

 

解決策


VMware Identity Manager のディレクトリ構成で [Bind User Details] を確認します。


 

Active Directory のユーザー

 

先ほど確認したように、CEO とその他の経営幹部は Active Directory の 「VDI Users」 という OU に登録されています。

 

 

VMware Identity Manager のディレクトリ構成

 

では、このことを VMware Identity Manager で確認してみましょう。ローカル Admin ユーザーとしてログインした状態で、次の手順に従います。

1. [ID とアクセス管理] をクリックします。

2. [ディレクトリ] をクリックします。

3. 一番下までスクロールして、[バインド ユーザーの詳細] セクションを確認します。

4. [ベース DN] の構成を確認します。

 

 

[ベース DN] の構成

 

[ベース DN] は、「Local」 ドメイン > 「Corp」 > 「Users」 を検索するようになっています。

しかし、CEO が存在するのは OU = VDI Users です。

 

 

[ベース DN] の修正

 

1. 最後の検索ベースを 「OU=VDI Users」 に変更します。

2. Administrator のパスワード (VMware1!) を入力して、[接続をテスト] をクリックします。

3. テストが完了したら、[保存] をクリックします。

最後に、VMware Identity Manager からログアウトします。

 

 

CEO として VMware Identity Manager にログイン

 

ログアウトしたら、[ログイン ページに戻る] ボタンをクリックします。

[corp.local] ドメインを選択します。

ユーザー名 「ceo」、パスワード 「VMware1!」 を入力し、CEO としてログインします。

 

 

接続に成功

 

CEO としてログインし、権限が付与されているアプリケーションとデスクトップを表示できるようになりました。

ほかの経営幹部もログインできることを確認します。それが済んだら、サービスが修正されて利用できるようになったことを伝えます。

 

まとめ


Active Directory のユーザーとグループは、フォレスト グループ、OU、その他のグループなど、さまざまなオプションを使用して構成できます。構成方法によっては、VMware Identity Manager が Active Directory に接続してユーザーを認証する方法に影響を与えることがあります。

この例では、[Base DN] が 「Users」 コンテナをチェックするように構成されていましたが、ユーザーが実際に存在するのは 「VDI Users」 OU でした。そのため、VMware Identity Manager が Active Directory に接続してユーザーを認証する際、正しい場所がチェックされませんでした。

ドメインの設定から DNS サーバの場所まで、ユーザーが正常に認証されるためのマッピングに影響を与える要素は数多くあります。

VMware Identity Manager に対する Active Directory の構成の詳細については、VMware Identity Manager ドキュメント センターを参照してください。

 


モジュール 4: アプリケーションの展開方法を改善する (45 分)

Module Switcher の操作方法


Module Switcher ツールを使用してモジュールを起動するには、次の手順に従います。


 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

 

Module Switcher アプリケーションの起動

 

Hands-on Labs Module Switcher が実行されていない場合は、デスクトップにある Module Switcher のアイコンをダブルクリックして起動します。

 

 

モジュール 4 の開始

 

[Module 4] の [Start] ボタンをクリックします。

 

 

モジュール 3 の停止

 

モジュール 4 の前に別のモジュールを実行した場合は、そのモジュールの STOP スクリプトが実行されます (図はモジュール 3 の例)。これが最初のモジュールである場合は、このステップは必要ないため、スキップされます。

前のモジュールを停止するスクリプトが完了するまで待ってから、<Enter> キーを押して続行します。

 

 

モジュール 4 の開始

 

スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続行します。これには、数分かかる場合があります。

 

課題 4: アプリケーションの展開方法を改善する


ユーザーから報告された大きな問題を解決し、ようやく Horizon インフラストラクチャを改善できるようになりました。あなたは、Rainpole 社の業務に不可欠な 2 つのアプリケーション、Notepad++ と VLC をユーザーに提供する作業を割り当てられました。

このモジュールでは、App Volumes 3 を活用して、アプリケーションをよりすばやく提供できるようにします。App Volumes 3 では、アプリケーションを OS イメージの管理から分離する、信頼性に優れた最新のアーキテクチャを使用できます。


 

問題の概要

デスクトップに接続できても、アプリケーションがなくては何の役にも立ちません。あなたは、仮想デスクトップ インフラストラクチャ (VDI)、リモート デスクトップ、公開アプリケーションなどの環境を管理してきた経験から、OS イメージに直接インストールされたアプリケーションの管理がいかに大変かをよく理解しています。

このシナリオでは、これら 2 つの主要なビジネス アプリケーションを提供するにあたり次のような要件があります。

論点をまとめると次のようになります。この 2 種類のアプリケーションと 3 種類のユーザーからなる単純なシナリオでは、アプリケーションを OS イメージに直接インストールすると 3 種類のデスクトップ プールが必要になります。この実習ラボでは、1 つの View デスクトップ プールと OS イメージを使用して、すべてのアプリケーションをすべてのユーザーに提供する必要があります。

次のような状況から判断して、前任者もすでにこのプロセスに着手していたようです。

 

 

実習ラボに関するメモ

ラボ環境という性質上、次の点を考慮する必要があります。

 

 

Windows のクイック起動タスク バーから Chrome ブラウザを起動

 

この問題を解決するには、vCenter Web Client から vCenter vcsa-01a.corp.local に接続する必要があります。

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。
  2. [Use Windows session authentication] をクリックしてログインするか、ユーザー名 「administrator@corp.local」、パスワード 「VMware1!」 を使用してログインします。

 

ヒント 1: Notepad++ にアクセスできるのは誰か


最初に Notepad++ のステータスを確認する必要があります。具体的には次のことを確認します。

  1. 現在 Notepad++ にアクセスできるユーザーは誰か
  2. Notepad++ アプリケーションはどの AppStack に含まれているか
  3. その AppStack はどこに格納されているか

答えを確認するには次のステップに進んでください。


 

ヒント 1: Notepad++ にアクセスできるのは誰か (答え)

最初に Notepad++ のステータスを確認する必要があります。具体的には次のことを確認します。

  1. 現在 Notepad++ にアクセスできるユーザーは誰か

現在は、Domain Users グループのすべてのユーザーが Notepad++ にアクセスできます。この例の要件では、このアプリケーションにアクセスできるのは CEO と CFO だけであるため、これを修正する必要があります。

  1. Notepad++ アプリケーションはどの AppStack に含まれているか

アプリケーション Notepad++(6.9.1) は、「Notepad++」 という AppStack に含まれています。

  1. その AppStack はどこに格納されているか

この AppStack は、\\controlcenter.corp.local\appstacks\notepad++.vmdk にあります。対応する notepad++.json ファイルもここにあります。

以降のステップでは、この情報を取得して、構成に必要な変更を加える方法を説明します。

 

 

App Volumes Manager コンソールを開く

 

  1. Google Chrome で、空のタブをクリックして新しいタブを開きます。
  2. 用意されている [App Volumes Manager] ブックマークをクリックします。アドレス バーに完全なアドレス (https://appvolumes-01a.corp.local/horizonadmin/) を入力することもできます。

 

 

App Volumes Manager コンソールへのログイン

 

次の情報を使用して、App Volumes Manager コンソールにログインします。

  1. ユーザー名: administrator
  2. パスワード: VMware1!
  3. ドメイン名: CORP
  4. [ログイン] をクリックします。

 

 

アプリケーションの権限付与の確認

 

接続したら、左側のツールバーで [割り当て] をクリックします。

この環境のすべてのアプリケーションの割り当てが表示されます。この例では、表示される割り当ては 「Notepad-for-Everyone」 だけです。その割り当て名をクリックして、プロパティを表示します。

 

 

割り当てのプロパティ

 

割り当てのプロパティを一番下までスクロールして、このアプリケーションが 「Domain Users」 に割り当てられていることを確認します。

この例の要件では、このアプリケーションにアクセスできるのは CEO と CFO だけです。その要件に合わせて修正しましょう。

  1. ユーザー割り当てを編集するには、[ユーザー] セクションの [編集] ボタンをクリックします。

注: Notepad++ の AppStack は 「RDS Management Servers」 と 「RDS Endpoint Servers」 にも割り当てられていますが、これらの割り当ては別のモジュールで使用するものであるため、このモジュールでは無視してかまいません。

 

 

アプリケーションのユーザー割り当ての変更

 

ダイアログ ボックスのコントロールを使用して、Domain Users グループを割り当てから削除し、CEO ユーザーと CFO ユーザーを追加します。完了したら、[保存して終了] ボタンをクリックします。結果は図のようになります。

追加課題: 「Notepad-for-Everyone」 という名前は、もはや相応しくありません。この割り当ての名前を 「Notepad-for-Some」 に変更しましょう。このモジュールの以降のスクリーンショットでは、この新しい名前が使われています。

実習ラボに関するメモ: 本番環境では、アプリケーションを直接ユーザーに割り当てるのではなくセキュリティ グループに割り当てることをお勧めします。

 

 

このアプリケーションはどの AppStack に含まれているか

 

1 つの AppStack に複数のアプリケーションが含まれている場合もあります。この例では、Notepad++ アプリケーションがどの AppStack から提供されているかを調べる必要があります。次の手順に従ってください。

  1. 左側のツールバーで、[INVENTORY] オプションをクリックします。
  2. セカンダリ ツールバーが表示されたら、[アプリケーション] を選択します。
  3. 「Notepad++(6.9.1)」 というアプリケーション名をクリックします。

 

 

アプリケーションのプロパティ

 

この例では、AppStack の名前も 「Notepad++」 です。名前は必ずしも一致している必要はありません。たとえば、Notepad++ を含む複数のアプリケーションを提供している Executive-Apps という名前の AppStack に Notepad++ が含まれている可能性もあります。

 

 

その AppStack はどこに格納されているか

 

AppStack が格納されている場所を確認するには、次の手順に従います。

  1. 左側のツールバーで、[設定] ボタンをクリックします。
  2. スライド アウト メニューで [場所] を選択します。
  3. AppStack はファイル共有に格納されているため、[ファイル共有] を選択し、[タイプ] が [アプリケーション] のファイル共有を探します。

 

 

ファイル共有のプロパティ

 

[タイプ] が [アプリケーション] のファイル共有は 1 つしか定義されていません。「AppStacks」 というわかりやすい名前が付いています。

  1. 最初の列のチェックボックスを使用してそのファイル共有を選択します。
  2. [編集] ボタンをクリックします。

 

 

ファイル共有の場所

 

これで AppStack の場所がわかりました。AppStack は \\controlcenter\appstacks に格納されています。この情報は、新しい AppStack を追加する場合に非常に重要になります。この例では VLC の AppStack がないため、後ほど新しい AppStack をどこに配置すればよいかわかるように、この場所を書き留めておくとよいでしょう。

追加課題: ファイル サーバが利用できなくなるとどうなるでしょう。ユーザーに対するアプリケーションの提供が中断されるのでしょうか。答えを確認するには次のステップに進んでください。

 

 

追加課題: AppStack はどこから提供されるのか

追加課題: ファイル サーバが利用できなくなるとどうなるでしょう。ユーザーに対するアプリケーションの提供が中断されるのでしょうか。

いいえ。ファイル共有は、さまざまな vCenter Server の同期ポイントに過ぎません。実際に AppStack を提供しているのは vCenter Server です。したがって、AppStack をサポートする vmdk ファイルが格納されているデータストアに vCenter Server がアクセスできる限り、ユーザーに対するサービスが中断されることはありません。

このラボ環境で Notepad++.vmdk ファイルがどのデータストアのどのパスにあるのか探してみてください。これがわからなくてもこのモジュールは完了できます。

 

ヒント 2: VLC をどのように提供するか


Notepad++ の問題を解決し、このアプリケーションに適切なユーザーがアクセスできるようにしました。次に、VLC を CEO と CMO に提供する方法を見つけなければなりません。

VLC の提供方法を検討する際には、次のことを考える必要があります。

  1. 現在の環境で VLC を提供するために利用できるメカニズムは何か
  2. 新しい AppStack を作成する必要があるか、それとも既存の AppStack に VLC を追加できるか

答えを確認するには次のステップに進んでください。


 

ヒント 2: VLC をどのように提供するか (答え)

 

VLC の提供方法を検討する際には、次のことを考える必要があります。

  1. 現在の環境で VLC を提供するために利用できるメカニズムは何か

このアプリケーションを直接 OS イメージにインストールする方法と、App Volumes を使用して提供する方法を利用できます。このアプリケーションにはすべてのユーザーがアクセスできるわけではないこと、アプリケーションを分離して簡単に管理できるようになることを考えて、App Volumes を活用するのがよいでしょう。

  1. 新しい AppStack を作成する必要があるか、それとも既存の AppStack に VLC を追加できるか

App Volumes 3.0 ではどちらの方法も選択できます。AppVolumes 2.x では、割り当てが AppStack にマッピングされるため、VLC 用に新しい AppStack を作成するしかありません。AppVolumes 3.0 では、割り当てがアプリケーションにマッピングされるため、AppStack の一部のアプリケーションに対してのみユーザー アクセスを許可できます。

最初にドキュメントを読むことをお勧めします。次のリンクをクリックすると、AppCapture ツールのドキュメントに移動できます。http://pubs.vmware.com/appvolumes-30/topic/com.vmware.appvolumes.install-admin.doc_30/GUID-FE40E9CB-3AB6-4763-99C3-E588F0977AA8.html

 

 

クリーンなマシン

 

アプリケーションをキャプチャするには、AppCapture を実行して AppStack を作成または変更するためのクリーンなマシンが必要です。このラボ環境には、そのために Win10-AppCapture というマシンが用意されています。このマシンのクリーンな状態のスナップショットはすでに作成されているため、新しいアプリケーションをキャプチャした後にクリーンな状態に戻すことができます。

vCenter Web Client で 「Win10-AppCapture」 マシンを検索して、検索結果のボックスでその名前をクリックします。

 

 

AppCapture のリモート コンソールの起動

 

[Remote Console を起動] をクリックして、AppCapture マシンのリモート コンソールを起動します。

 

 

AppCapture ツールのインストール (1)

 

Win10-AppCapture マシンに接続したら、AppCapture ツールをインストールする必要があります。

Windows 10 の [Start] ボタンを右クリックして [Run] を選択します。

 

 

AppCapture ツールのインストール (2)

 

AppCapture ツールは \\controlcenter\software にあります。

 

 

AppCapture ツールのインストール (3)

 

インストーラ VMware-appvolumes-appcapture-3.0.0.272.exe を右クリックして、[Run as administrator] を選択します。

 

 

AppCapture ツールのインストール (4)

 

セキュリティ警告が表示されたら、[Run] ボタンをクリックして承諾します。

 

 

AppCapture ツールのインストール (5)

 

[Next] をクリックします。

 

 

AppCapture ツールのインストール (6)

 

使用許諾契約書に同意し、[Next] をクリックします。

 

 

AppCapture ツールのインストール (7)

 

[Install] をクリックします。

 

 

AppCapture ツールのインストール (8)

 

[Finish] をクリックします。

 

 

AppCapture ツールのインストール (9)

 

[Yes] をクリックしてマシンを再起動します。

 

 

AppCapture ツールのインストール (10)

 

マシンが再起動して AppCapture のインストールが終了するまで待ちます。

 

 

AppCapture マシンへのログイン (1)

 

VMware Remote Console (VMRC) のツールバーで [Ctrl-Alt-Del] ボタンをクリックして、Win10-AppCapture にログインします。

 

 

AppCapture マシンへのログイン (2)

 

ユーザー名 「CORP\Administrator」、パスワード 「VMware1!」 を使用してログインします。

 

 

新しい AppStack でのアプリケーションのキャプチャ (1)

 

以降では、新しい AppStack で VLC アプリケーションをキャプチャする手順について説明します。

App Volumes 3.0 には、キャプチャ プロセスを簡単に自動化できるように、AppStack をキャプチャするためのコマンドライン ベースのツール (AppCapture) が用意されています。グラフィカル ユーザー インターフェイス (GUI) はありません。コマンド プロンプトか PowerShell スクリプトを使用できます。

この実習ラボでは PowerShell スクリプトを使用します。Windows 10 の [Start] メニューで [All apps] を選択します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (2)

 

下にスクロールして [Windows PowerShell] フォルダを見つけます。見つかったら、矢印をクリックして展開します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (3)

 

フォルダが展開されたら、[Windows PowerShell] をクリックして起動します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (4)

 

PowerShell が起動したら、サポートされている AppCapture 機能を含む必須のモジュールをインポートする必要があります。次のコマンドを実行します。

Import-Module vmware.appcapture

インポートに成功した場合、次の図のように、コマンドからの応答は何も表示されません。

 

 

新しい AppStack でのアプリケーションのキャプチャ (5)

 

次のコマンドを入力して、AppStack のキャプチャを開始します。

Start-AVAppCapture -Name VLC

これにより、デフォルトのフォルダで VLC という新しい AppStack のキャプチャが開始されます。このフォルダの場所は後ほど確認します。

ここでは、このまま先に進んで VLC アプリケーションをインストールします。

 

 

新しい AppStack でのアプリケーションのキャプチャ (6)

 

VLC のインストーラを実行します。\\controlcenter\software に移動し、vlc-2.2.4-win64 ファイルを右クリックして、[Run as administrator] を選択します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (7)

 

[Run] をクリックしてセキュリティ警告を承諾します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (8)

 

[OK] をクリックして続行します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (9)

 

[Next] をクリックして続行します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (10)

 

[Next] をクリックします。

 

 

新しい AppStack でのアプリケーションのキャプチャ (11)

 

デフォルトのコンポーネントのまま、[Next] をクリックします。

 

 

新しい AppStack でのアプリケーションのキャプチャ (12)

 

デフォルトのインストール場所のまま、[Install] をクリックします。

 

 

新しい AppStack でのアプリケーションのキャプチャ (13)

 

VLC のインストールが終了するまで待ちます。

 

 

新しい AppStack でのアプリケーションのキャプチャ (14)

 

[Run VLC media player] チェックボックスがオンになっていることを確認して、[Finish] をクリックします。

キャプチャするアプリケーションは常に一度実行することをお勧めします。多くのアプリケーションで何らかの初期化プロセスが実行されるため、一度実行しておかないと、ユーザーがアプリケーションを起動したときに初期化プロセスを実行しなければならなくなります。

 

 

新しい AppStack でのアプリケーションのキャプチャ (15)

 

[Continue] をクリックします。

 

 

新しい AppStack でのアプリケーションのキャプチャ (16)

 

右上にある X ボタンをクリックして VLC media player のウィンドウを閉じます。

 

 

新しい AppStack でのアプリケーションのキャプチャ (17)

 

PowerShell のウィンドウに戻り、<Enter> キーを 2 回押します。

 

 

新しい AppStack でのアプリケーションのキャプチャ (18)

 

マシンが再起動するまで待ってから、CORP\Administrator として再度ログインします。AppCapture のプロセスを終了するためのコマンド プロンプトが実行されます。プロセスが終了するまで待ちます。結果は図のようになるはずです。

これで、AppStack がどこに保存されたかわかりました。デフォルトの場所は、C:\ProgramData\VMware\AppCapture\appvhds\ です。この場所に移動して、何が生成されたか見てみましょう。

 

 

新しい AppStack でのアプリケーションのキャプチャ (19)

 

次のコマンドを入力します。

cd \programdata\VMware\AppCapture\appvhds\
dir

.json ファイル、.vhd ファイル、.vmdk ファイルの 3 つのファイルが生成されたことがわかります。必要なのは json (メタデータ) ファイルと vmdk ファイルだけであるため、この 2 つのファイルを AppStack のファイル共有 (場所は先ほど書き留めました) にコピーします。

追加課題: .vhd ファイルの用途は何ですか

 

 

新しい AppStack でのアプリケーションのキャプチャ (20)

 

次のコマンドを入力します。

xcopy .\VLC.json \\controlcenter\appstacks\

 

 

新しい AppStack でのアプリケーションのキャプチャ (21)

 

次のコマンドを入力します。

xcopy .\VLC.vmdk \\controlcenter\appstacks\

 

 

AppStack の強制同期 (1)

 

ここでは、同期プロセスが開始されるまで待たなくても済むように、App Volumes のファイル共有の同期を強制的に開始して、新しい AppStack をすぐに利用できるようにします。

App Volumes Manager コンソールに戻ります。閉じてしまった場合は、再度ログインして、[設定] - [場所] - [ファイル共有] に移動します。

同期を強制的に開始するには、次の手順に従います。

  1. 最初の列のチェックボックスを使用して AppStacks ファイル共有を選択します。
  2. [...] ボタンをクリックします。
  3. [今すぐ同期] をクリックします。

 

 

AppStack の強制同期 (2)

 

図のような成功メッセージが表示されます。このメッセージはすぐに消えてしまうので注意してください。

 

 

[Applications] インベントリの確認

 

[INVENTORY] - [アプリケーション] に移動して、[アプリケーション] インベントリを確認します。「VLC media player(2.2.4)」 というアプリケーションが表示されるはずです。

接続に成功

 

ヒント 3: VLC の割り当て


VLC の AppStack を作成できたので、次に、このアプリケーションを適切なユーザーに割り当てます。

このアプリケーションを CEO ユーザーと CMO ユーザーに割り当ててみてください。

以降のステップでは、この手順について説明します。


 

VLC アプリケーションのユーザーへの割り当て

 

App Volumes Manager コンソールで、左側のツールバーの [割り当て] メニューを選択します。

 

 

VLC アプリケーションのユーザーへの割り当て (1)

 

  1. App Volumes Manager コンソールで、左側のツールバーの [割り当て] メニューを選択します。
  2. [新規] をクリックして、新しい割り当てを作成します。

 

 

VLC アプリケーションのユーザーへの割り当て (2)

 

[アプリケーション] をクリックします。

 

 

アプリケーションの割り当ての命名

 

このアプリケーションの割り当ての名前を入力します。この例では、「VLC-for-Execs」 という名前にします。

 

 

VLC media player アプリケーションの選択

 

[VLC media player(2.2.4)] アプリケーションを選択して、[次へ] をクリックします。

 

 

割り当てのユーザーの選択

 

CEO ユーザーと CMO ユーザーを割り当てに追加して、[次へ] をクリックします。

 

 

アプリケーションの割り当ての終了

 

すべての情報が正しいことを確認し、[送信] をクリックしてアプリケーションの割り当てを作成します。

 

結果の確認


アプリケーションの提供の構成が要件を満たしていることを確認するには、次の 2 つの方法があります。

  1. 公開されている Rainpole Desktop にそれぞれのユーザーとしてログインして、アプリケーションを確認します。それぞれのユーザーとしてログインすると、利用可能な唯一の VDI デスクトップがそのユーザーに割り当てられるため、別のユーザーでテストする前にデスクトップの割り当てを解除する必要があることに注意してください。手順は以降のステップで説明します。
  2. 結果をモジュール 6 で確認します。モジュール 6 では、新しいインスタント クローン技術を使用して、新しい高速なデスクトップ プールを作成します。 

 

Rainpole Desktop への接続

 

メイン コンソールのデスクトップから、VMware Horizon Client を起動します。

 

 

View Connection Server への接続

 

「view-01a.corp.local」 のアイコンをダブルクリックします。

 

 

適切なユーザーとしての認証

 

  1. [User name]: ceo、cfo、または cmo (テストするユーザー)
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

仮想デスクトップの割り当て解除 (1)

 

仮想デスクトップの割り当てを解除する必要がある場合は、まず、Google Chrome で新しいタブを開いて [View Administrator] ブックマークをクリックします。アドレス バーに 「https://view-01a.corp.local/admin/」 と入力して、View 管理コンソールを直接起動することもできます。

 

 

仮想デスクトップの割り当て解除 (2)

 

ドメイン管理者の認証情報を使用してログインします。

  1. [ユーザー名]: administrator
  2. [パスワード]: VMware1!
  3. [ドメイン]: CORP
  4. [ログイン] ボタンをクリックします。

 

 

仮想デスクトップの割り当て解除 (3)

 

左側の [インベントリ] メニューで [マシン] を選択します。

 

 

仮想デスクトップの割り当て解除 (4)

 

[WIN10-VDI-01] マシンを右クリックして [ユーザーの割り当てを解除...] を選択します。

 

 

仮想デスクトップの割り当て解除 (5)

 

[OK] をクリックして、割り当て解除を確定します。

 

まとめ


CEO、CFO、CMO の各ユーザーの仮想デスクトップに接続すると、それぞれ適切なアプリケーションがデスクトップに表示される必要があります (次のステップを参照)。

このモジュールで確認したように、App Volumes を使用すると、ユーザーにアプリケーションを提供する方法を大幅に強化できます。以下にその例を示します。

  1. ここでは OS の基本イメージに一切手を触れていないことに気づきましたか。これで、もうメンテナンスや再構成に悩まされることはありません。
  2. ラボ環境ではリソースが限られていますが、実際の環境では、組織全体の何千人ものユーザーに 1 つのコンソールから瞬時にアプリケーションを提供できます。
  3. 基本の OS からアプリケーションまで、管理レイヤーが分離されるため、IT の組織構造を改善できるようになります。たとえば、アプリケーションの管理をビジネス部門の責任者に委任できます。
  4. アプリケーションにアクセスできるユーザーの制御、更新の迅速な提供、緊急時のバージョンのロールバック、アプリケーションの運用終了などが実現されるため、アプリケーション ライフサイクル管理が効率化されます。

 

CEO のデスクトップ

 

次の図は、CEO のデスクトップを示しています。Notepad++ と VLC の両方のアプリケーションがデスクトップにあります。CFO と CMO のデスクトップには、Notepad++ か VLC のいずれかのアプリケーションのみがあります。

 

モジュール 5: ユーザーの使用環境を向上させる (30 分)

はじめに


このモジュールの課題は、前任者から引き継いだ Horizon 環境を把握することです。

このモジュールを完了するには、次の作業を終える必要があります。


 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

Module Switcher の操作方法


Module Switcher ツールを使用してモジュールを起動するには、次の手順に従います。


 

Module Switcher アプリケーションの起動

 

Hands-on Labs Module Switcher が実行されていない場合は、デスクトップにある Module Switcher のアイコンをダブルクリックして起動します。

 

 

モジュール 5 の開始

 

[Module 5] の [Start] ボタンをクリックします。

 

 

モジュール 4 の停止

 

モジュール 5 の前に別のモジュールを実行した場合は、そのモジュールの STOP スクリプトが実行されます (図はモジュール 4 の例)。これが最初のモジュールである場合は、このステップは必要ないため、スキップされます。

前のモジュールを停止するスクリプトが完了するまで待ってから、<Enter> キーを押して続行します。

 

 

モジュール 5 の開始

 

モジュール 5 の START スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続行します。これには、数分かかる場合があります。

 

課題 5: 一貫した使用環境の提供


ユーザーから、複数のアクセス方法の間で使用環境が一貫していないという声が上がっています。このモジュールでは、User Environment Manager を活用してこの問題に対処し、RDS ホスト型のデスクトップと従来型の仮想デスクトップの間でユーザーの使用環境の一貫性を確保します。

 

User Environment Manager Console にはメイン コンソールからアクセスしてください。

UEM のファイルは \\controlcenter.corp.local\customizations に格納されています。


 

問題の概要

ユースケースごとにそれぞれ適したツールがあります。リモート デスクトップ セッション ホスト (RDSH) サーバから公開アプリケーションとしてアプリケーションを提供する方が実用的である場合もあれば、仮想デスクトップ (VDI) を使用する方がユーザーの使用環境が向上する場合もあります。

デスクトップやアプリケーションを提供するために使用される方法が RDSH であろうと VDI であろうと、さらには物理デスクトップであろうと、ユーザーにとっては、常に一貫した使用環境が提供されることが重要です。

ビジネスの要件に基づいて、技術面で次のような構成を実現する必要があります。

  1. ユーザーの F: ドライブが常に \\controlcenter\AppStacks にマップされる
  2. ユーザーのカスタマイズ プロセスがログに記録される
  3. VLC で一貫した使用環境が提供される
  4. Notepad++ で一貫した使用環境が提供される

ユーザーが VDI と RDSH のどちらを使用して接続してもこの構成が実現される必要があります。

 

 

実習ラボに関するメモ

この課題では、必要なユーザー構成の保持、提供、適用のために、VMware User Environment Manager (UEM) を活用します。

ラボ環境という性質上、次の点を考慮する必要があります。

質問: UEM サーバはどこにありますか。これは、ひっかけ問題です。UEM サーバは存在しません。すべての構成はファイル共有に保持されます。

 

 

User Environment Manager Console へのログイン

 

User Environment Manager Console にアクセスするには、メイン コンソールのデスクトップでそのアイコンをダブルクリックします。

 

 

最初に参照するドキュメント

最初に UEM 管理者ガイド (https://www.vmware.com/pdf/uem-90-admin-guide.pdf) を読むことをお勧めします。

このガイドの 18 ページに、実装プロセスの概要がわかりやすくまとめられています。

前任者がすでにこのプロセスに着手していたため、必要なソフトウェアはすでにインストールされています。グループ ポリシー オブジェクト (GPO) の UEM 管理用テンプレートもすでに用意されていますが、GPO はまだありません。必要なファイル共有もすでに作成されています。

 

ヒント 1: すべてのステップの確認


UEM 管理者ガイドには、UEM の実装に必要なステップのリストがわかりやすくまとめられています。このリストを確認して、ここで実行する必要があるステップを特定します。


 

必要なステップのリスト

 

次の図は、UEM 管理者ガイドから抜粋した、UEM の実装に必要なステップのリストです。

線で消されているステップは、前任者によってすでに実行されているため、必要ありません。ここでは FlexEngine をグループ ポリシー拡張機能として実行するため、ログオン スクリプトも必要ありません。

したがって、残るのは次のステップだけです。

 

ヒント 2: User Environment Manager Management Console の構成


まずは、UEM Management Console を構成して、UEM を管理できるようにする必要があります。

UEM 管理者ガイドを参照して、UEM Management Console を構成してください。


 

UEM Management Console の構成

 

UEM Management Console の構成については、UEM 管理者ガイド* の 34 ページで説明されています。

 

UEM Management Console を初めて起動したときに、UEM 構成を格納する場所を選択する必要があります。

  1. [Location] フィールドに 「\\controlcenter\customizations」 と入力します。
  2. [OK] をクリックします。

これで要件が満たされました。実に簡単です。

* https://www.vmware.com/pdf/uem-90-admin-guide.pdf

 

ヒント 3: クライアントの誘導


次のステップでは、クライアントを正しく誘導する必要があります。これを行わないと、ユーザーは構成情報をどこから取得すればよいのかわかりません。


 

リストの確認

 

リストによると、次の作業は UEM GPO の作成です。これが、ユーザーが UEM 構成を取得する場所です。

この手順は、UEM 管理者ガイドの 23 ページ以降で説明されています。まずは自分で挑戦してみて、行き詰まったら、以降のステップで手順を確認してください。

 

 

グループ ポリシー管理コンソールの起動

 

グループ ポリシー管理コンソールは、メイン コンソールの次の場所にあります。

 

 

GPO の作成

 

グループ ポリシー管理コンソールで、AD ツリーを展開して [VDI Users] OU を見つけます。[VDI Users] OU を右クリックして、[Create a GPO in this domain, and Link it here...] を選択します。

 

 

GPO の命名

 

  1. 新しい GPO に 「UEM GPO」 という名前を付けます。
  2. [OK] をクリックして続行します。

 

 

GPO の編集

 

  1. [VDI Users] OU の左側にある三角形をクリックしてこの OU を展開します。
  2. [UEM GPO] を右クリックします。
  3. [Edit...] を選択します。

 

 

FlexEngine 設定の構成

 

左側の GPO ツリーを展開して次の場所に移動します。

FlexEngine とは、ユーザーのデスクトップ (物理デスクトップまたは仮想デスクトップ) で実行される UEM コンポーネントです。「UEM Client」 という俗称で呼ばれることもあります。

ここで、次の FlexEngine 設定を構成します。

 

 

Flex config files

 

これは、FlexEngine (UEM Client) に構成の取得元を伝える設定です。

  1. [Enabled] をクリックします。
  2. 「\\controlcenter.corp.local\Customizations\General」 と入力します。
  3. [OK] をクリックします。

[Process folder recursively] はオンのままにしておきます。

 

 

Profile archive backups

 

  1. [Enabled] をクリックします。
  2. ユーザー プロファイル アーカイブのバックアップを格納する場所として、「\\controlcenter.corp.local\Users\%username%\Backups」 と入力します。
  3. [OK] をクリックして続行します。

 

 

Profile archives

 

  1. [Enabled] をクリックします。
  2. ユーザー プロファイル アーカイブを格納する場所として、「\\controlcenter.corp.local\Users\%username%\Archives」 と入力します。
  3. [OK] をクリックして続行します。

 

 

Run FlexEngine as Group Policy Extension

 

ここでは FlexEngine をグループ ポリシー拡張機能として実行するため、ログオン スクリプトは必要ありません。ログオフ スクリプトは必要であるため、後ほど用意します。また、コンピュータの起動およびログオンで常にネットワークを待つように指定する必要もあります。これは、ユーザー セッションが開始される前に FlexEngine の構成が処理されるようにするためです。

  1. [Enabled] をクリックします。
  2. [OK] をクリックします。

 

 

FlexEngine logging

 

  1. [Enabled] をクリックします。
  2. パスおよびログ ファイルの名前として、「\\controlcenter.corp.local\Users\%username%\Logs\FlexEngine.log」 と入力します。
  3. [OK] をクリックして続行します。

その他のパラメータはデフォルトのままでかまいません。

 

 

Always wait for the network at computer startup and logon

 

UEM 構成が正しく処理されるようにするためには、ユーザーのデスクトップでネットワークが利用可能になってからグループ ポリシー拡張機能が処理されるようにする必要があります。

これは、ユーザーの構成ではなくコンピュータの構成であるため、新しい GPO を作成してユーザーのコンピュータにリンクする必要があります。この例では、すべてのコンピュータが Computers コンテナに含まれています (実際の本番環境では推奨されません)。Computers はコンテナであるため、OU をリンクすることはできません。したがって、ドメイン レベルでバインドする必要があります。

グループ ポリシー管理コンソールに戻ります。

  1. [corp.local] を右クリックします。
  2. [Create a GPO in this domain, and Link it here...] を選択します。

 

 

GPO の命名

 

  1. 新しい GPO に 「Wait for network」 という名前を付けます。
  2. [OK] をクリックして続行します。

 

 

GPO の編集

 

  1. [corp.local] ドメインの左側にある三角形をクリックしてこのドメインを展開します。
  2. [Wait for network] GPO を右クリックします。
  3. [Edit...] を選択します。

 

 

ログオン設定の構成

 

左側の GPO ツリーを展開して次の場所に移動します。

[Always wait for the network at computer startup and logon] をダブルクリックします。

 

 

Always wait for the network at computer startup and logon

 

  1. [Enabled] をクリックします。
  2. [OK] をクリックします。

 

ヒント 4: ログオフ時のユーザー構成の保存


ユーザー構成がセッション間で保持されるようにするには、ログオフ時にユーザー構成が保存されるようにする必要があります。

UEM 管理者ガイド* を参照して自分で挑戦してみることも、以降のステップで詳しい手順を確認することもできます。


 

リストの確認

 

リストによると、次の作業はログオフ スクリプトへのコマンドの追加です。これにより、ユーザーがログオフする前に、ユーザー構成の変更が保存されるようになります。

この手順は、UEM 管理者ガイドの 32 ページ以降で説明されています。まずは自分で挑戦してみて、行き詰まったら、以降のステップで手順を確認してください。

一口メモ: このラボ環境では、クライアントにインストールされる FlexEngine が C:\Program Files (x86)\VMware\VMware App Volumes Unified Agent\UEM\ にインストールされています。これは、スタンドアロン コンポーネントとしてではなく App Volumes Unified Agent の一部としてインストールされているためです。

 

 

UEM GPO の編集

 

グループ ポリシー管理コンソールに戻って UEM GPO を編集します (詳しい手順が必要な場合は前のステップを参照してください)。

次の場所に移動します。

[Logoff] をダブルクリックして、設定を編集します。

 

 

ログオフのプロパティ

 

[Logoff Properties] ダイアログ ボックスで、[Add...] をクリックします。

 

 

スクリプトの追加

 

[Script Name] に次のコマンドを入力します。

C:\Program Files (x86)\VMware\VMware App Volumes Unified Agent\UEM\FlexEngine.exe

[Script Parameters] には次のように入力します。

-s

[OK] をクリックします。

 

ヒント 5: アプリケーションの構成


User Environment Manager はすでに実行されていますが、何も行われていません。これは、まだ構成が行われていないからです。

VLC と Notepad++ の構成を管理するように UEM を構成する方法を確認する必要があります。

 


 

リストの確認

 

リストによると、次の作業は Flex 構成ファイルの作成です。これにより、アプリケーションの構成を管理したり、保存したり、一貫した使用環境を提供するために利用したりできるようになります。

この手順は、UEM 管理者ガイドの 37 ページ以降で説明されています。まずは自分で挑戦してみて、行き詰まったら、以降のステップで手順を確認してください。

 

 

構成ファイルの作成

 

[Create Config File] ボタンをクリックします。

 

 

カスタム構成ファイルの作成

 

  1. [Create a custom config file] を選択します。
  2. [Next] をクリックして続行します。

 

 

構成ファイルの名前

 

  1. [File name] に 「Notepad++」 と入力します。
  2. [Finish] をクリックします。

 

 

Import / Export 設定 (1)

 

幸いなことに、Notepad++ の構成がどのように保持されるのかはよくわかっています。Notepad++ のドキュメント (http://docs.notepad-plus-plus.org/index.php/Configuration_Files) によると、すべての構成は %AppData%\Notepad++ のいくつかのファイルに保持されます。したがって、このフォルダ ツリーのすべての内容がユーザー構成の一部として保持されるようにする必要があります。

  1. 白い編集領域の任意の場所をクリックして、Import / Export 設定を宣言します。
  2. [Section] ボタンをクリックして新しいセクションを追加します。
  3. ドロップダウン メニューから [IncludeFolderTrees] を選択します。

 

 

Import / Export 設定 (2)

 

Import / Export の構成に次のように情報を入力します。

[IncludeFolderTrees]
<AppData>\Notepad++

次のステップに進む前に [DirectFlex] タブを選択します。

 

 

DirectFlex の構成

 

DirectFlex を構成すると、アプリケーションの起動時や終了時にアプリケーションの構成を読み込んだり、保存したりできます。これは、後ほど確認するように、VDI セッションを実行していて、VDI セッションを終了する前に公開アプリケーションを起動する場合などに便利です。

[Enable DirectFlex for this config file] をクリックします。

 

 

DirectFlex の実行可能ファイルのパス

 

  1. 実行可能ファイルのパスとして、「C:\Program Files (x86)\Notepad++\Notepad++.exe」 と入力します。
  2. [OK] をクリックして続行します。

 

 

構成ファイルの保存

 

[Save Config File] をクリックします。

 

 

追加課題: VLC の構成

 

VLC の構成ファイルを作成するには、Notepad++ の構成ファイルを作成するために使用したのと同じ手順を繰り返します。ただし、次の箇所を変更する必要があります。

 

ヒント 6: ドライブのマッピング


リストの作業はあと 1 つだけです。それは、F: ドライブを \\controlcenter\AppStacks にマッピングすることです。

UEM 管理者ガイドには、これに関する情報も含まれています。


 

リストの確認

 

リストの最後の作業になりました。ユーザー環境を構成して、ネットワーク ドライブをマッピングする必要があります。

この手順は、UEM 管理者ガイドの 77 ページ以降で説明されています。まずは自分で挑戦してみて、行き詰まったら、以降のステップで手順を確認してください。

 

 

ドライブ マッピングの作成

 

  1. [User Environment] タブを選択します。
  2. 左側のリストから [Drive Mapping] を選択します。
  3. [Create] ボタンをクリックします。

 

 

ドライブ マッピングの情報

 

次の情報を入力します。

  1. [Name]: AppStacks
  2. [Drive letter]: F
  3. [Remote path]: \\controlcenter\appstacks
  4. [Save] をクリックして続行します。

 

確認


以上ですべての作業が終わりました。次に、すべてが正しく動作することを確認します。

構成を確認するには、次の作業を行います。

追加課題: すでにモジュール 6 (ジャスト イン タイムのデスクトップ) を完了している場合は、ユーザーがログオフした後にデスクトップが破棄されてもアプリケーションの構成が保持されることを確認できます。

* 注: VLC は、モジュール 4 が完了している場合にのみ使用できます。


 

VMware Horizon Client の起動

 

メイン コンソールのデスクトップから、VMware Horizon Client を起動します。

 

 

View Connection Server への接続

 

「view-01a.corp.local」 のアイコンをダブルクリックします。

 

 

CEO としてログイン

 

  1. [User name]: ceo
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

Rainpole Desktop の起動

 

[Rainpole Desktop] アイコンをダブルクリックします。

 

 

ドライブ F のマッピングの確認

 

デスクトップが起動するまで待ちます。

Windows エクスプローラの読み込みが完了したら、次の手順に従って、F ドライブが正しくマッピングされていることを確認します。

  1. クイック起動バーでフォルダ アイコンをクリックします。
  2. [This PC] をクリックして、ドライブの一覧を表示します。
  3. F ドライブがマッピングされています。

 

 

Notepad++ の起動

 

Windows エクスプローラのウィンドウを閉じて、Notepad++ をデスクトップ アイコンから起動します。

 

 

Notepad++ の設定の変更

 

[Settings] - [Preferences...] の順に選択して、ユーザー設定を変更します。

 

 

大きいアイコンの設定

 

  1. [Big icons] を選択します。
  2. [Close] をクリックします。

大きいアイコンが表示されるようになったことを確認して、アプリケーションを閉じます。

 

 

Notepad++ 公開アプリケーションの起動

 

VDI セッションを最小化して、メイン コンソールに戻ります。

Horizon Client を使用して、Notepad++ 公開アプリケーションを起動します。

 

 

大きいアイコンの確認

 

Notepad++ 公開アプリケーションが起動するまで待ちます。起動すると、ツールバーに大きいアイコンが表示されます。この設定は、セッション間、マシン間、OS 間で保持されました。

 

 

ドライブ F のマッピングの確認

 

[File] - [Open] の順に選択して、この公開アプリケーションから F ドライブにアクセスできることを確認します。

 

重要なポイント


User Environment Manager は非常に強力なツールです。条件が満たされていれば、ユーザー環境の構成やアプリケーションの構成管理をきめ細かく行うことができます。

カスタム スクリプトを使用すると、展開を強化して、環境のあらゆるユースケースを管理できます。

フォルダ リダイレクトを使用すると、VMware User Environment Manager からフォルダのリダイレクトを構成できます。したがって、リダイレクトに Active Directory の GPO は不要です。

Horizon ポリシーまたはスマート ポリシーは UEM 9 と Horizon 7 の統合に関する機能です。これらのポリシーでは、プール名、タグ、エンドポイントの場所、View の名前と IP 情報が条件付きでサポートされます。管理者は Horizon ポリシーを使用して、システム クリップボード、クライアント ドライブ、USB アクセス、印刷機能、PCoIP 接続の帯域幅プロファイルを状況に応じて動的に制御できます。

 

参照ドキュメント:

User Environment Manager Administrator's Guide: https://www.vmware.com/pdf/uem-90-admin-guide.pdf

Aaron Black による Horizon 7 のスマート ポリシーに関するブログ記事: http://blogs.vmware.com/euc/2016/05/vmware-horizon-7-implementation-with-smart-policies.html

Dale Carter によるブログ記事 「VMware User Environment Manager Deployed in 60 Minutes or Less」: https://blogs.vmware.com/euc/2015/04/vmware-horizon-view-user-environment-manager-deploy-60-minutes.html

Mark Richards 氏による RDS の可変的な環境変数の使用に関するブログ記事: https://virtualmarkr.wordpress.com/2015/11/23/vmware-euc-uem-using-rds-volatile-environment-variables/

VMware End-User-Computing TV https://bit.ly/how-to-uem


 

まとめ

これで、「モジュール 5: ユーザーの使用環境を向上させる」 は終了です。実習ラボをご利用いただきありがとうございました。最後にアンケートへのご記入をお願いします。

 

モジュール 6: ジャスト イン タイムのデスクトップ (45 分)

Module Switcher の操作方法


Module Switcher ツールを使用してモジュールを起動するには、次の手順に従います。


 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

 

Module Switcher アプリケーションの起動

 

Hands-on Labs Module Switcher が実行されていない場合は、デスクトップにある Module Switcher のアイコンをダブルクリックして起動します。

 

 

モジュール 6 の開始

 

[Module 6] の [Start] ボタンをクリックします。

 

 

モジュール 5 の停止

 

モジュール 6 の前に別のモジュールを実行した場合は、そのモジュールの STOP スクリプトが実行されます (図はモジュール 5 の例)。これが最初のモジュールである場合は、このステップは必要ないため、スキップされます。

前のモジュールを停止するスクリプトが完了するまで待ってから、<Enter> キーを押して続行します。

 

 

モジュール 6 の開始

 

モジュール 6 の START スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続行します。

 

課題 6: 成長と環境の最適化


環境の最適化の一環として、ストレージ使用量の削減と、デスクトップの再構成に要するメンテナンス時間の短縮を実現する必要があります。このモジュールでは、インスタント クローン技術を使用し、極めて高い柔軟性を備えたデスクトップ、ジャスト イン タイムのデスクトップをユーザーに提供します。


 

課題の概要

新しいプロジェクト (CEO が支持しています) が開始されて、すべてのユーザーに特定のアプリケーションとデスクトップへのアクセスを提供することになりました。通常であれば簡単なことですが、先日、仮想デスクトップ環境にプロビジョニングされているストレージがほとんど使い尽くされていることがわかりました。このような状況で上述の要件を満たすにはどうすればよいでしょうか。その実現のために検討および導入する必要があるものは何でしょうか。

前任者は、インスタント クローン技術を活用してジャスト イン タイムのデスクトップを展開するメリットについて調査していました。これには、次のように大きなメリットがあります。

ジャスト イン タイムのデスクトップとインスタント クローン技術の詳細については、次のページを参照してください。

http://blogs.vmware.com/euc/2016/02/horizon-7-view-instant-clone-technology-linked-clone-just-in-time-desktop.html

この課題の具体的な要件は次のとおりです。

 

 

必要な情報

この課題の解決に役立つ情報を以下に示します。

 

ヒント 1: どこから始めるか


少し前に紹介したブログ記事を覚えていますか。そこで、デスクトップ プールの作成方法について何らかの情報が得られるかもしれません。

戻って URL を探さなくても済むように、ここに再掲しておきます。http://blogs.vmware.com/euc/2016/02/horizon-7-view-instant-clone-technology-linked-clone-just-in-time-desktop.html

より詳しい情報が必要な場合は、いつものように公式ドキュメントを参照できます。http://pubs.vmware.com/horizon-7-view/topic/com.vmware.horizon-view.desktops.doc/GUID-F5C53552-F6C8-4BE8-B486-9D172CA1F5CD.html

まだ足りない場合は、『Virtualization Review』 の Tom Fenton 氏による詳細なガイドを参照してください。https://virtualizationreview.com/articles/2016/03/24/how-to-use-vmware-instant-clone-setup-and--installation.aspx

 


 

ヒント 1: どこから始めるか (答え)

この時点で、ジャスト イン タイムのデスクトップのプールがすでに使用できるようになっているはずですが、なっていない場合のために、以降のステップですべての手順を説明します。

 

 

Windows のクイック起動タスク バーから Chrome ブラウザを起動

 

View 管理コンソールに接続するには、Google Chrome を起動する必要があります。

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

新しいタブを開く

 

空のタブをクリックして新しいタブを開きます。

 

 

View 管理コンソールの起動

 

用意されているブックマークをクリックして、View 管理コンソールを起動します。https://view-01a.corp.local/adminに接続することもできます。

 

 

VMware Horizon 管理コンソールへのログイン

 

  1. [ユーザー名]: administrator
  2. [パスワード]: VMware1!
  3. [ドメイン]: CORP
  4. [ログイン] をクリックします。

 

 

[Desktop Pools] を開く

 

左側の [インベントリ] パネルで、[カタログ] の下の [デスクトップ プール] をクリックします。

 

 

新しいデスクトップ プールの追加

 

[追加...] ボタンをクリックして、新しいデスクトップ プールを作成します。

 

 

自動デスクトップ プール

 

ジャスト イン タイムのデスクトップのプールは常に自動デスクトップ プールです。[自動化されたデスクトッププール] を選択し、[次へ >] をクリックします。

 

 

ユーザー割り当て

 

ジャスト イン タイムのデスクトップは常に流動割り当てデスクトップです。[流動] を選択し、[次へ >] をクリックします。

 

 

vCenter Server

 

ジャスト イン タイムのデスクトップは、vSphere のインスタント クローン技術を使用して新しい仮想マシンを数秒で作成します。[インスタントクローン] を選択し、[vcsa-01a] vCenter Server をクリックして、[次へ >] をクリックします。

 

 

デスクトップ プールの ID

 

次の情報を入力して、[次へ >] をクリックします。

 

 

デスクトップ プールの設定

 

ここでは何も変更する必要はありません。そのまま [次へ >] をクリックします。

 

 

プロビジョニングの設定

 

  1. [名前付けパターン]: WIN10-JIT-{n:fixed=2}
  2. [マシンの最大数]: 10
  3. [オンデマンドでマシンをプロビジョニング]: 選択
  4. [次へ >] をクリックします。

 

 

ストレージの最適化

 

ここでは、Virtual SAN は構成されておらず、レプリカを保持するほかのデータストアもないため、そのまま [次へ>] をクリックします。

 

 

vCenter の設定 (1)

 

[参照...] をクリックして、親仮想マシンを選択します。

 

 

親仮想マシンの選択

 

[WIN10-VDI-JIT] 親仮想マシンを選択し、[OK] をクリックします。

 

 

vCenter の設定 (2)

 

[参照...] をクリックして、スナップショットを選択します。

 

 

スナップショットの選択

 

この親仮想マシンには、利用できるスナップショットが 1 つだけあるはずです。名前は JIT-Snapshot です。それを選択して、[OK] をクリックします。

 

 

vCenter の設定 (3)

 

[参照...] をクリックして、仮想マシンのフォルダの場所を選択します。

 

 

仮想マシンのフォルダの場所の選択

 

[Win10 Virtual Desktops] フォルダを選択し、[OK] をクリックします。

 

 

vCenter の設定 (4)

 

[参照...] をクリックして、クラスタを選択します。

 

 

クラスタの選択

 

[RegionA01-MGMT01] クラスタを選択し、[OK] をクリックします。

 

 

vCenter の設定 (5)

 

[参照...] をクリックして、リソース プールを選択します。

 

 

リソース プールの選択

 

[RegionA01-MGMT01] リソース プールを選択し、[OK] をクリックします。

 

 

vCenter の設定 (6)

 

[参照...] をクリックして、データストアを選択します。

 

 

データストアの選択

 

[RegionA01-ISCSI-COMP01] データストアを選択し、[OK] をクリックします。データストア名が完全に表示されない場合は列の幅を広げてください。

 

 

vCenter の設定 (7)

 

すべての情報が入力されていて、間違いもないことを確認し、[次へ >] をクリックします。

 

 

ゲストのカスタマイズ

 

ここでは、ゲストのカスタマイズは必要ありません。[次へ >] をクリックします。

 

 

設定の確認

 

[このウィザードの終了後にユーザーに資格を割り当てる] チェック ボックスをオンにします。情報を確認して、[終了] をクリックします。デスクトップ プールの作成とプロビジョニングが開始されます。

注: プロビジョニングが完了するまでに 20 ~ 30 分かかります。

 

 

権限 (1)

 

[追加...] ボタンをクリックして、ユーザーまたはグループを追加します。

 

 

ユーザーまたはグループの検索

 

  1. [ユーザー] の選択を解除します。
  2. 「Domain Users」 を検索します。
  3. [検索] ボタンをクリックします。
  4. 結果ペインに Domain Users グループが表示されます。それを選択します。
  5. [OK] をクリックします。

 

 

権限 (2)

 

Domain Users にこのデスクトップ プールに対する権限が付与されたことを確認します。[閉じる] をクリックします。

 

 

デスクトップ プールのプロビジョニングの監視 (1)

 

デスクトップ プールのプロビジョニングを監視するには、[JIT_Pool] デスクトップ プールをダブルクリックします。

 

 

デスクトップ プールのプロビジョニングの監視 (2)

 

[サマリー] タブで、下にスクロールして [vCenter Server] セクションを見つけます。このセクションの [保留中イメージ] に、保留中のイメージのステータスが表示されます。この例では、[状態] が 「公開中」、[操作] が 「最初の発行」 になっています。この処理には 20 ~ 30 分かかります。

 

 

デスクトップ プールのプロビジョニングの監視 (3)

 

処理が完了すると、[状態] が [発行済み] に変わります。

 

結果の確認


ジャスト イン タイムのデスクトップのプールの作成とプロビジョニングが完了したので、エンド ユーザーとして環境に接続してテストと確認を行います。


 

新しいジャスト イン タイムのデスクトップのテスト

 

メイン コンソールのデスクトップから、VMware Horizon Client を起動します。

 

 

View Connection Server への接続

 

「view-01a.corp.local」 のアイコンをダブルクリックします。

 

 

CFO としての認証

 

  1. [User name]: cfo
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

ジャスト イン タイムのデスクトップへの接続

 

[JIT Desktops] をダブルクリックして、ジャスト イン タイムのデスクトップに接続します。

 

 

ユーザーのカスタム設定

 

ログインすると、Windows 10 のユーザー プロファイルの作成プロセスが開始されます。これには、数分かかる場合があります。

これは流動割り当てデスクトップであることを考えると、ユーザーの次回のログイン時にはどうなるでしょうか。

この問題を、セッションの終了後にユーザー プロファイルが破棄されるようにしたまま緩和するにはどうすればよいでしょうか。

ユーザーの構成とプロファイルが保持されるようにするにはどうすればよいでしょうか。

 

 

ジャスト イン タイムのデスクトップ

 

プロセスが完了して、ユーザーのデスクトップにログインできました。割り当てられているすべてのアプリケーションが表示されます。

 

 

Windows のクイック起動タスク バーから Chrome ブラウザを起動

 

仮想マシンのステータスを確認するには、vCenter Web Client で vCenter vcsa-01a.corp.local に接続する必要があります。

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。
  2. ユーザー名 「administrator@corp.local」、パスワード 「VMware1!」 を使用してログインします ([Use Windows session authentication] をオンにすることもできます)。

 

 

vCenter Server (1)

 

vCenter Server Web Client (Google Chrome) に切り替えて、仮想マシンのインベントリを確認します。2 つのデスクトップ仮想マシンが表示されるはずです (表示されない場合は、少し待ってから表示を更新してください)。1 つは、ユーザーが現在使用しているデスクトップ仮想マシン (この例では WIN10-JIT-01)、もう 1 つは、新しい接続をサポートするために作成された新しいデスクトップ仮想マシンです。本番環境では、WIN10-JIT-02 が数秒で作成されます。

 

 

ジャスト イン タイムのデスクトップからのログオフ (1)

 

Windows の [Start] ボタンをクリックします。一番上に表示されているユーザー名をクリックします。

 

 

ジャスト イン タイムのデスクトップからのログオフ (2)

 

ポップアップ メニューで [Sign out] をクリックします。

 

 

vCenter Server (2)

 

vCenter Server Web Client (Google Chrome) に切り替えて、仮想マシンのインベントリを確認します。ログオフが完了すると WIN10-JIT-01 デスクトップ仮想マシンが破棄されることがわかります。

 

まとめ


このモジュールでは、インスタント クローン技術を使用すると仮想デスクトップのプロビジョニングが大幅に効率化されることを確認しました。

インスタント クローン技術を使用してジャスト イン タイムのデスクトップを提供するメリットは次のとおりです。


 

追加課題

この実習では、ノンパーシステント デスクトップ仮想マシンを作成しました。この場合、ユーザーのデータと構成は、ユーザーがログアウトするたびに失われます。

これがユースケースに合わない場合はどうすればよいでしょうか。つまり、ジャスト イン タイムのデスクトップのシンプルさと俊敏性を享受しつつ、エンド ユーザーにパーシステントな使用環境を提供するにはどうすればよいでしょうか。

同じラボ環境を使用して、パーシステントな使用環境を実現してみてください。以下の情報を参考にしてください。

 

モジュール 7: Horizon デスクトップを保護する (45 分)

はじめに


社内で仮想デスクトップの使用事例が増えるにつれて、セキュリティ チームから、仮想デスクトップ使用時の重要なデータベース リソースやアプリケーション リソースへのアクセスについて懸念が提起されるようになりました。このモジュールでは、ネットワークを仮想化することで、アプリケーション、データベース、デスクトップを分離します。


 

画面右下でラボの準備完了を確認

 

画面の右下の [Lab Status] にラボの準備状況が表示されます。表示が [Ready] になってから、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

Module Switcher の操作方法


Module Switcher ツールを使用してモジュールを起動するには、次の手順に従います。


 

Module Switcher アプリケーションの起動

 

Hands-on Labs Module Switcher が実行されていない場合は、デスクトップにある Module Switcher のアイコンをダブルクリックして起動します。

 

 

モジュール 7 の開始

 

[Module 7] の [Start] ボタンをクリックします。

 

 

モジュール 6 の停止

 

モジュール 7 の前に別のモジュールを実行した場合は、そのモジュールの STOP スクリプトが実行されます (図はモジュール 6 の例)。これが最初のモジュールである場合は、このステップは必要ないため、スキップされます。

前のモジュールを停止するスクリプトが完了するまで待ってから、<Enter> キーを押して続行します。

 

 

モジュール 7 の開始

 

スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続行します。

 

課題 7: 内部リソースからのデスクトップの分離


ユーザーが自分の所属部署以外のアプリケーションや情報を表示できるようになっていることについて、セキュリティ チームから懸念が提起されました。彼らの懸念を緩和する必要があります。接続ごとに従来のファイアウォール ルールを作成する代わりに、Active Directory (AD) のユーザーやグループに関連付けられたポリシーを作成できるとしたらどうでしょう。作業がはるかに容易になると思いませんか (ヒント: NSX と Active Directory の統合)。

 

ユーザー (CEO) と IT Operations グループに基づいてトラフィックを分離するポリシーを作成します。ユーザーが接続できるのは必要なアプリケーションのみとし、その他のリソースには接続できないようにします。


 

課題の概要

セキュリティ共同プロジェクト チームの前回の会議で、権限のないユーザーが VDI 環境から Log Insight Management Console にアクセスしようとしていることが報告されました。さらに、あなたが管理している VDI 環境のセキュリティに対しても疑問が投げかけられました。接続できるリソースが制御されていないデータセンターでユーザーにデスクトップを実行させるのは危険すぎる、とのことです。

しかし、あなたは動じません。セキュリティ チームの考えは、従来の物理ネットワークのセキュリティに基づいているからです。NSX を活用すれば、物理ネットワークより安全な環境を実現できます。

前任者も NSX を活用するための作業に着手していたようで、主要なコンポーネントのインストールと展開はすでに完了しています。モジュール 1 で確認したように、論理スイッチと Edge ルータも展開されています。Guest Introspection までインストールされています。ただし、分散ファイアウォール機能はまだ使用されていないようです。

この課題の具体的な要件は次のとおりです。

 

 

必要な情報

この課題の解決に役立つ情報を以下に示します。

 

ヒント 1: ユーザーの区別 (「私が誰だかわかりますか」)


ファイアウォール ルールを作成する前に、権限があるユーザーとないユーザーを区別できるようにしておく必要があります。

AD の部分については簡単で、AD セキュリティ グループを作成すればよいことはすぐにわかりますが、NSX でこの区別を実装するにはどうすればよいでしょうか。

以降のステップでは、この答えと実装方法について説明します。


 

ヒント 1: ユーザーの区別 (答え)

ファイアウォール ルールを作成する前に、権限があるユーザーとないユーザーを区別できるようにしておく必要があります。

AD の部分については簡単で、AD セキュリティ グループを作成すればよいことはすぐにわかりますが、NSX でこの区別を実装するにはどうすればよいでしょうか。

まずは自分で挑戦してみてください。手順は 『NSX 管理ガイド』 (https://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-B9FC0D05-BE96-4D83-8C58-98B0F96DB342.html) で説明されています。

以降のステップでは、この手順について詳しく説明します。

 

 

[Active Directory Users and Computers] を開く

 

[Start] メニューから次の順に選択します。

 

 

新しい AD グループの作成

 

  1. [Users] コンテナを選択します。
  2. [Create a new group] ボタンをクリックします。

 

 

AD セキュリティ グループの名前の入力

 

  1. [Group name]: LogInsight_Users
  2. [OK] をクリックして続行します。

 

 

LogInsight_Users AD グループへの CEO ユーザーの追加

 

  1. [VDI Users] OU を選択します。
  2. [Chief Exec. Officer] ユーザーを選択します。
  3. [Add selected object to a group] アイコンをクリックします。

 

 

AD セキュリティ グループの検索

 

  1. テキスト ボックスに 「LogInsight_Users」 と入力します。
  2. [Check Names] をクリックします。テキスト ボックス内のグループ名に下線が付いていることを確認します。これは、このグループが AD で見つかったことを示します。
  3. [OK] をクリックして続行します。

 

 

確認と [Active Directory Users and Computers] の終了

 

CEO ユーザーが LogInsight_Users グループに追加されたことを知らせるメッセージが表示されたら、[OK] をクリックしてダイアログ ボックスを閉じます。さらに、[Active Directory Users and Computers] を閉じます。

 

 

Windows のクイック起動タスク バーから Chrome ブラウザを起動

 

vSphere Web Client に接続するには Web ブラウザを使用する必要があります。

  1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

 

 

vSphere Web Client へのログイン

 

vSphere Web Client にログインして、いくつかのコンポーネントの相関関係を確認します。

  1. [ユーザー名]: administrator@corp.local
  2. [パスワード]: VMware1!
  3. [ログイン] をクリックします。

ヒント: [Windows セッション認証を使用してください] をクリックしてから [ログイン] ボタンをクリックすると、時間を節約できます。

 

 

[Networking  Security] (NSX) を開く

 

vSphere Web Client の [ホーム] 画面で、[Networking & Security] リンクをクリックします。

 

 

[NSX Managers] を開く

 

[ネットワークとセキュリティのインベントリ] の下にある [NSX Managers] をクリックします。

 

 

NSX Manager の構成

 

「192.168.110.15」 という名前の NSX Manager をクリックして構成します。

 

 

AD オブジェクトのローカルの状態の更新

 

先ほど AD セキュリティ グループを作成したばかりなので、この新しいグループの存在が認識されるように、手動で NSX Manager を AD と同期させる必要があります。

  1. [管理] タブをクリックします。
  2. [ドメイン] タブをクリックします。
  3. [corp.local] ドメインを選択します。
  4. [すべてのADオブジェクトのローカル状態を更新] アイコンをクリックします。

 

 

セキュリティ グループの追加

 

  1. [管理] タブをクリックします。
  2. [グループ オブジェクト] タブをクリックします。
  3. [Security Group] をクリックします。
  4. [新規 Security Group の追加] (+) アイコンをクリックします。

 

 

セキュリティ グループの名前の入力

 

  1. [名称]: LogInsight_Users
  2. [次へ] をクリックして続行します。

 

 

動的メンバーシップの定義

 

  1. ドロップダウン メニューで [エンティティ] を選択します。
  2. [エンティティの選択] ボタンをクリックします。

 

 

エンティティの選択

 

  1. ドロップダウン メニューで [ディレクトリ グループ] エンティティ タイプを選択します。
  2. 検索ボックスを使用して、利用可能なグループを絞り込みます。検索ボックスに 「LogInsight」 と入力します。
  3. ラジオ ボタンをクリックして [LogInsight_Users] グループを選択します。
  4. [OK] をクリックして続行します。

 

 

グループに含めるオブジェクトの選択

 

ここでは静的オブジェクトは追加しないため、そのまま [次へ] をクリックして続行します。

 

 

除外するオブジェクトの選択

 

除外する静的オブジェクトもないため、[次へ] をクリックして続行します。

 

 

設定の確認

 

構成を確認し、[終了] をクリックします。

 

ヒント 2: ルールの適用


ユーザーを区別できるようになったので、次に、その区別に関するルールを適用して、権限があるユーザー以外は Log Insight Management Console に接続できないようにします。

これらのルールを適用するのに最適な場所はどこでしょうか。


 

ヒント 2: ルールの適用 (答え)

ユーザーを区別できるようになったので、次に、その区別に関するルールを適用して、権限があるユーザー以外は Log Insight Management Console に接続できないようにします。

これらのルールを適用するのに最適な場所はどこでしょうか。

境界ファイアウォールでルールを設定することもできますが (モジュール 2 を参照)、これらは ID ベースのルールであるため、ネットワーク トポロジーに依存しないレベルで適用する方が理に適っています。

では、そのためにはどうすればよいでしょうか。『NSX 管理ガイド』 (https://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-C7A0093A-4AFA-47EC-9187-778BDDAD1C65.html) に詳しい説明があるため、自分で挑戦してみてください。

以降のステップで詳細説明を確認することもできます。

 

 

[Networking  Security] の [Home] 画面に戻る

 

[Networking & Security] の [ホーム] 画面に戻るには、次の手順に従います。

  1. [ホーム] アイコンをクリックします。
  2. ドロップダウン メニューから [Networking & Security] を選択します。

 

 

[Firewall] に移動

 

[ファイヤウォール] に移動します。

 

 

表示スペースの確保

 

  1. 押しピンをクリックすると、タスク ペインが折りたたまれて、メイン ペインの表示スペースが拡大します。左側のペインも折りたたむと、表示スペースが最大になります。

 

 

レイヤー 3 ルール セクションの展開

 

  1. [デフォルトのセクション レイヤ3] の左側にある三角形をクリックしてこのセクションを展開します。
  2. ルール 2 の [Default Rule DHCP] を選択します。
  3. [ルールの追加] (+) ボタンをクリックします。

 

 

ルールの命名 (1)

 

新しいルール (3 番目のルール) の [名前] フィールドの右上にカーソルを合わせます。鉛筆のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールの名前を編集します。

 

 

ルールの命名 (2)

 

  1. [ルール名]: LogInsight_Reject
  2. [Save] をクリックします。

 

 

送信元の設定

 

新しいルール (3 番目のルール) の [ソース] フィールドの右上にカーソルを合わせます。鉛筆のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールの送信元を編集します。

 

 

送信元への VDI ネットワークの追加

 

まず、VDI ネットワークから Log Insight サーバへのすべての接続を拒否するルールを作成します。その後、それより優先順位の高いルールを作成して、LogInsight_Users グループのユーザーにアクセスを許可します。

  1. ドロップダウン メニューを使用して、[オブジェクトタイプ] を [論理スイッチ] に設定します。
  2. [使用可能なオブジェクト] の一覧で [VDI Network] を選択します。
  3. 右矢印のアイコンをクリックして [VDI Network] オブジェクトを追加します。
  4. [OK] をクリックして続行します。

 

 

送信先の設定

 

Log Insight サーバは物理マシンであり、vCenter Server インベントリには含まれていないため、IP アドレス (192.168.110.24) で参照します。

新しいルール (3 番目のルール) の [ターゲット] フィールドの右下にカーソルを合わせます。IP のアイコンが表示されます。IP のアイコンをクリックして、ルールの送信先を編集します。

 

 

送信先の生 IP

 

  1. [値]: 192.168.110.24/32 (ネットワークではなくホストを指定していることを明示するために /32 というサフィックスを追加しています)
  2. [Save] をクリックして続行します。

 

 

サービスの設定

 

新しいルール (3 番目のルール) の [サービス] フィールドの右上にカーソルを合わせます。鉛筆のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールのサービスを編集します。

 

 

サービスの指定

 

Log Insight Management Console は HTTPS で実行されるため、このサービスを大半のユーザーに対して拒否します。

  1. 検索ボックスをクリックして、「HTTPS」 と入力します。
  2. [使用可能なオブジェクト] の一覧で [HTTPS] を選択します。
  3. 右矢印のアイコンをクリックしてこのサービスを追加します。
  4. [OK] をクリックして続行します。

 

 

アクションの設定

 

新しいルール (3 番目のルール) の [操作] フィールドの右上にカーソルを合わせます。鉛筆のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールのアクションを編集します。

 

 

アクションの編集

 

  1. ドロップダウン メニューで [却下] アクションを選択します。
  2. [Save] をクリックして続行します。

追加課題: [ブロック] アクションと [却下] アクションの違いは何ですか。ヒント: 答えは 『NSX 管理ガイド』 (https://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-C7A0093A-4AFA-47EC-9187-778BDDAD1C65.html) で確認できます。

 

 

「Reject」 ルールをコピーして 「Allow」 ルールを作成

 

作成したファイアウォール ルールを右クリックして [コピー] を選択します。

 

 

「Reject」 ルールを張り付けて 「Allow」 ルールを作成

 

作成したファイアウォール ルールを右クリックして [上に貼り付け] を選択します。

 

 

「Allow」 ルールの命名 (1)

 

新しいルール (3 番目のルール) の [名前] フィールドの右上にカーソルを合わせます。鉛筆のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールの名前を編集します。

 

 

「Allow」 ルールの命名 (2)

 

  1. [ルール名]: LogInsight_Allow
  2. [Save] をクリックします。

 

 

送信元の設定

 

新しいルール (3 番目のルール) の [ソース] フィールドの右上にカーソルを合わせます。鉛筆のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールの送信元を編集します。

 

 

送信元からの VDI ネットワークの削除

 

  1. [選択したオブジェクト] の一覧で [VDI Network] を選択します。
  2. 左矢印のアイコンをクリックして [VDI Network] オブジェクトを削除します。

 

 

送信元への LogInsight_Users グループの追加

 

今度は、LogInsight_Users からの Log Insight サーバへの接続を受け入れるルールを作成します。これは、先ほど作成した、AD セキュリティ グループを参照する NSX セキュリティ グループです。

  1. ドロップダウン メニューを使用して、[オブジェクトタイプ] を [Security Group] に設定します。
  2. [使用可能なオブジェクト] の一覧で [LogInsight_Users] を選択します。
  3. 右矢印のアイコンをクリックして [LogInsight_Users] オブジェクトを追加します。
  4. [OK] をクリックして続行します。

 

 

アクションの設定

 

新しいルール (3 番目のルール) の [操作] フィールドの右上にカーソルを合わせます。鉛筆のアイコンが表示されます。鉛筆のアイコンをクリックして、ルールのアクションを編集します。

 

 

アクションの編集

 

  1. ドロップダウン メニューで [許可] アクションを選択します。
  2. [Save] をクリックして続行します。

 

 

変更の発行

 

作成したファイアウォール ルールは、[変更の発行] ボタンをクリックしないと分散ファイアウォールに展開されません。[変更の発行] ボタンをクリックします。

 

確認


以上で、必要なセキュリティ構成が完了しました。あとは、この構成が正しく動作することを確認するだけです。

構成を確認するには、次の作業を行います。

追加課題: すでにモジュール 6 (ジャスト イン タイムのデスクトップ) を完了している場合は、ユーザーがログオフした後にデスクトップが破棄されてもアプリケーションの構成が保持されること、動的な IP 構成を使用しているためにデスクトップの IP アドレスがセッションごとに変わることを確認できます。


 

VMware Horizon Client の起動

 

メイン コンソールのデスクトップから、VMware Horizon Client を起動します。

 

 

View Connection Server への接続

 

「view-01a.corp.local」 のアイコンをダブルクリックします。

 

 

CEO としてログイン

 

  1. [User name]: ceo
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

Rainpole Desktop の起動

 

[Rainpole Desktop] アイコンをダブルクリックします。

すでにモジュール 6 を完了している場合は、代わりに [JIT Desktops] を使用します。

 

 

Microsoft Edge の起動

 

デスクトップが起動するまで待ちます。

Windows エクスプローラの読み込みが完了したら、クイック起動バーのアイコンをクリックして Microsoft Edge を起動します。

 

 

Log Insight Management Console への接続

 

Log Insight Management Console に接続します。

 

 

接続の成功

 

Log Insight Management Console への接続に成功するはずです。図のような認証画面が表示されます。

 

 

デスクトップからのサインアウト

 

[Start] ボタンを右クリックし、[Shut down or sign out] を選択して、[Sign out] をクリックします。

 

 

Horizon からの接続解除

 

[Disconnect] ボタンを使用して Horizon からサインアウトします。[OK] をクリックして確認します。

 

 

ユーザーの変更

CEO としての接続は成功しました。次に、CFO として接続して、変化を確認します。

このラボ環境には Rainpole Desktop のインスタンスが 1 つしかないため、CEO ユーザーへの割り当てを解除して、CFO ユーザーが使用できるようにする必要があります。手順は以降のステップで説明します。

ジャスト イン タイムのデスクトップを使用している場合は (すでにモジュール 6 を完了している場合のみ)、これらのステップは必要ありません。ここをクリックしてスキップしてください。

 

 

仮想デスクトップの割り当て解除 (1)

 

仮想デスクトップの割り当てを解除する必要がある場合は、まず、Google Chrome で新しいタブを開いて [View Administrator] ブックマークをクリックします。アドレス バーに 「https://view-01a.corp.local/admin/」 と入力して、View 管理コンソールを直接起動することもできます。

 

 

仮想デスクトップの割り当て解除 (2)

 

ドメイン管理者の認証情報を使用してログインします。

  1. [ユーザー名]: administrator
  2. [パスワード]: VMware1!
  3. [ドメイン]: CORP
  4. [ログイン] ボタンをクリックします。

 

 

仮想デスクトップの割り当て解除 (3)

 

左側の [インベントリ] メニューで [マシン] を選択します。

 

 

仮想デスクトップの割り当て解除 (4)

 

[WIN10-VDI-01] マシンを右クリックして [ユーザーの割り当てを解除...] を選択します。

 

 

仮想デスクトップの割り当て解除 (5)

 

[OK] をクリックして、割り当て解除を確定します。

 

 

View Connection Server への接続

 

「view-01a.corp.local」 のアイコンをダブルクリックします。

 

 

CFO としての認証

 

  1. [User name]: cfo
  2. [Password]: VMware1!
  3. [Domain]: CORP
  4. [Login] をクリックします。

 

 

Rainpole Desktop の起動

 

[Rainpole Desktop] アイコンをダブルクリックします。

すでにモジュール 6 を完了している場合は、代わりに [JIT Desktops] を使用します。

 

 

Microsoft Edge の起動

 

デスクトップが起動するまで待ちます。

Windows エクスプローラの読み込みが完了したら、クイック起動バーのアイコンをクリックして Microsoft Edge を起動します。

 

 

Log Insight Management Console への接続

 

Log Insight Management Console に接続します。

 

 

接続の拒否

 

接続が拒否されるはずです。これで、すべてが正しく動作している (CEO ユーザーはアクセスを許可され、その他のユーザー (この場合は CFO) は拒否される) ことになります。

 

重要なポイント


VDI / RDSH 環境で NSX を使用すると、従来の物理環境を上回るセキュリティを実現できます。

ルールを作成する際には、IP アドレス、ポート、ネットワーク セグメントなどの物理構成に限定されずに、ビジネス プロセスに直接関係するユーザー ID やグループ メンバーシップを活用できます。

たとえば、バックエンド データベースへのユーザー アクセスを制限して、すべてのユーザーがアプリケーション レイヤーに接続し、アプリケーション レイヤーがデータベースに接続するように設定できます。

NSX と Horizon の詳細については、次のページを参照してください。

https://www.vmware.com/products/horizon/horizon-nsx.html


 

まとめ

これで、「モジュール 7: Horizon デスクトップを保護する」 は終了です。実習ラボをご利用いただきありがとうございました。最後にアンケートへのご記入をお願いします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-1791-CHG-1-JA

Version: 20170110-042341