Windows 10 корпоративная для виртуальных рабочих столов что это
Windows 10 Корпоративная с поддержкой нескольких сеансов: часто задаваемые вопросы
В этой статье содержатся ответы на часто задаваемые вопросы и рекомендации по Windows 10 Корпоративная с многосеансовой поддержкой.
Что такое Windows 10 Корпоративная с многосеансовой поддержкой?
Windows 10 Корпоративная с многосеансовой поддержкой, ранее известная как Windows 10 Корпоративная для виртуальных рабочих столов (EVD), представляет собой новый узел сеансов удаленных рабочих столов, обеспечивающих использование нескольких параллельных интерактивных сеансов. Ранее это можно было делать только в Windows Server. Эта возможность дает пользователям привычный опыт работы с Windows 10, а также преимущества работы с несколькими сеансами и использования существующих лицензий на пользователя Windows, а не клиентских лицензий RDS. Дополнительные сведения о лицензиях и ценах см. на странице Цены на Виртуальный рабочий стол Azure.
Сколько пользователей могут одновременно иметь интерактивные сеансы в Windows 10 Корпоративная с многосеансовой поддержкой?
Количество интерактивных сеансов, которые могут быть активными одновременно, зависит от аппаратных ресурсов системы (виртуальные процессоры, память, диск и виртуальный графический процессор), того, как пользователи используют свои приложения при входе в сеанс и насколько высока рабочая нагрузка системы. Мы рекомендуем проверить производительность системы, чтобы понять, сколько пользователей могут одновременно работать в Windows 10 Корпоративная с многосеансовой поддержкой. Дополнительные сведения см. в разделе Цены на Виртуальный рабочий стол Azure.
Почему приложение сообщает о Windows 10 Корпоративная с многосеансовой поддержкой как о серверной операционной системе?
Windows 10 Корпоративная с многосеансовой поддержкой — это виртуальный выпуск Windows 10 Корпоративная. Одно из отличий заключается в том, что эта операционная система (ОС) выдает ProductType со значением 3 — то же самое значение, что и Windows Server. Это свойство обеспечивает совместимость операционной системы с существующими средствами управления для сеансов удаленных рабочих столов, приложениями с поддержкой многосеансовой поддержки, а также оптимизацией производительности низкоуровневых систем для сред узлов сеансов удаленных рабочих столов. Некоторые установщики приложений могут блокировать установку в многосеансовой системе Windows 10, если ProductType имеет значение Client. Если приложение не устанавливается, обратитесь к поставщику приложения за обновленной версией.
Можно ли использовать Windows 10 Корпоративная с многосеансовой поддержкой локально?
Windows 10 Корпоративная с многосеансовой поддержкой не может выполняться в локальных рабочих средах, так как она оптимизирована для службы Виртуальный рабочий стол Azure в Azure. Это соглашение о лицензировании для запуска Windows 10 Корпоративная с многосеансовой поддержкой за пределами Azure в производственных целях. Windows 10 Корпоративная с многосеансовой поддержкой не будет активирована для локальных служб управления ключами (KMS).
Можно ли обновить виртуальную машину Windows 10 до Windows 10 Корпоративная с многосеансовой поддержкой?
Нет. Сейчас невозможно обновить существующую виртуальную машину, работающую под управлением Windows 10 Профессиональная или Корпоративная, до Windows 10 Корпоративная с многосеансовой поддержкой. Кроме того, если вы развернули виртуальную машину Windows 10 Корпоративная с многосеансовой поддержкой, а затем обновляете ключ продукта в другом выпуске, то вы не сможете снова переключиться на виртуальную машину в Windows 10 Корпоративная с многосеансовой поддержкой, и потребуется повторное развертывание виртуальной машины. Смена номера SKU виртуальной машины Виртуального рабочего стола Azure на другой выпуск не поддерживается.
поддерживает ли Windows 10 Корпоративная поддержку нескольких сеансов IP-виртуализация удаленных рабочих столов?
Нет. Образы ОС виртуальных машин, поддерживаемые виртуальными рабочими системами Azure, не поддерживают IP-виртуализация удаленных рабочих столов.
Как настроить образ Windows 10 Корпоративная с многосеансовой поддержкой для моей организации?
Вы можете запустить в Azure виртуальную машину с Windows 10 Корпоративная с многосеансовой поддержкой и настроить ее, установив бизнес-приложения, Sysprep/Generalize, а затем создав образ с помощью портала Azure.
Для начала создайте в Azure виртуальную машину с Windows 10 Корпоративная с многосеансовой поддержкой. Вместо запуска виртуальной машины в Azure можно загрузить VHD напрямую. После этого можно использовать загруженный виртуальный жесткий диск для создания новой виртуальной машины 1-го поколения на компьютере с Windows 10 с включенным Hyper-V.
Настройте образ в нужных целях, установив бизнес-приложения и Sysprep в образе. Завершив настройку, отправьте в Azure образ, содержащий виртуальный жесткий диск. После этого получите Виртуальный рабочий стол Azure из Azure Marketplace и используйте его для развертывания нового пула узлов с настроенным образом.
Как управлять Windows 10 Корпоративная с многосеансовой поддержкой после развертывания?
Можно использовать любое поддерживаемое средство настройки, но рекомендуется Configuration Manager версии 1906, так как он поддерживает Windows 10 Корпоративная с многосеансовой поддержкой. В настоящее время мы работаем над поддержкой Microsoft Intune.
Можно ли присоединить Windows 10 Корпоративная с многосеансовой поддержкой через Azure Active Directory (AD)?
В настоящее время Windows 10 Корпоративная с многосеансовой поддержкой поддерживается для гибридного подключения к Azure AD. После присоединения Windows 10 Корпоративная с многосеансовой поддержкой к домену используйте существующий объект групповой политики, чтобы включить регистрацию Azure AD. Дополнительные сведения см. в разделе Как планировать гибридную реализацию присоединения к Azure Active Directory
Где можно найти образ Windows 10 Корпоративная с многосеансовой поддержкой?
Windows 10 Корпоративная с многосеансовой поддержкой находится в коллекции Azure. Чтобы ее найти, перейдите на портал Azure и выполните поиск выпуска Windows 10 Корпоративная для виртуальных рабочих столов. Чтобы получить образ, интегрированный с приложениями Microsoft 365 для предприятия, перейдите на портал Azure и выполните поиск Приложения Microsoft Windows 10 + Microsoft 365 для предприятия.
Какой образ Windows 10 Корпоративная с многосеансовой поддержкой следует использовать?
Коллекция Azure включает разные выпуски, в том числе Windows 10 Корпоративная версий 1903 и 1909 с поддержкой нескольких сеансов. Для повышения производительности и надежности рекомендуется использовать последнюю версию.
Какие поддерживаются версии Windows 10 Корпоративная с многосеансовой поддержкой?
Поддерживается Windows 10 Корпоративная с поддержкой нескольких сеансов версий 1909 и выше, которые доступны в коллекции Azure. Эти выпуски соответствуют той же политике жизненного цикла поддержки, что и Windows 10 Корпоративная, а это означает, что мартовский выпуск поддерживается в течение 18 месяцев, а сентябрьский выпуск — в течение 30 месяцев.
Какое решение по управлению профилем следует использовать в Windows 10 Корпоративная с многосеансовой поддержкой?
Рекомендуется использовать контейнеры профилей FSLogix при настройке Windows 10 Корпоративная в несохраняемых средах или в других случаях, требующих централизованного хранения профиля. FSLogix гарантирует доступность и актуальность профиля пользователя для каждого сеанса пользователя. Также рекомендуется использовать контейнер профиля FSLogix для хранения профиля пользователя в любой общей папке SMB с соответствующими разрешениями, но при необходимости можно хранить профили пользователей в хранилище BLOB-объектов Azure. Пользователи Виртуального рабочего стола Azure могут использовать FSLogix без дополнительных затрат. FSLogix предварительно установлен во всех образах Windows 10 Корпоративная с многосеансовой поддержкой, но ИТ-администратор по-прежнему несет ответственность за настройку контейнера профиля FSLogix.
Дополнительные сведения о настройке контейнера профиля FSLogix см. в статье Настройка контейнера профиля FSLogix.
Какая лицензия необходима для доступа к Windows 10 Корпоративная с многосеансовой поддержкой?
Полный список применимых лицензий см. на странице Цены на Виртуальный рабочий стол Azure.
Почему приложения исчезают после выхода из системы?
Это происходит потому, что вы используете Windows 10 Корпоративная с многосеансовой поддержкой одновременно с решением для управления профилями, например FSLogix. Вашим администратором или решением для работы с профилями выполнена настройка для удаления профилей пользователей при выходе пользователя из системы. Такая конфигурация означает, что, когда ваша система удаляет профиль пользователя после выхода из системы, она также удаляет все приложения, установленные во время сеанса. Если вы хотите, чтобы установленные приложения сохранялись, необходимо попросить администратора подготовить эти приложения для всех пользователей в среде Виртуального рабочего стола Azure.
Как добиться того, чтобы приложения не исчезали при выходе из системы?
Большинство виртуализированных сред настраиваются по умолчанию таким образом, чтобы пользователи не могли устанавливать приложения в свои профили. Если вы хотите, чтобы приложение не исчезало после выхода пользователя из Виртуального рабочего стола Azure, необходимо подготовить это приложение для всех профилей пользователей в вашей среде. Дополнительные сведения о подготовке приложений см. по следующим ссылкам:
Как убедиться, что пользователи не загружают и не устанавливают приложения из Microsoft Store?
Можно отключить приложение Магазина приложений Microsoft Store, чтобы пользователи не загружали приложения, кроме тех, которые уже подготовлены для них.
Чтобы отключить приложение Магазина приложений
Может ли Windows 10 или Windows 11 Enterprise (несколько сеансов) получать обновлений компонентов с помощью Windows Server Update Services (WSUS)?
В настоящее время WSUS не может предоставлять обновления компонентов для Windows 10 или Windows 11 Enterprise (несколько сеансов).
Дальнейшие действия
Дополнительные сведения о Виртуальном рабочем столе Azure и Windows 10 Корпоративная с многосеансовой поддержкой:
Создание виртуальных рабочих столов Windows 10 Корпоративная для станций
Случайные операции ввода-вывода для чтения и записи > = 3K на станцию
Станции — настройте станции для системы служб MultiPoint. Дополнительные сведения см. в статье подключение дополнительных станций к службам MultiPoint.
домен — в среде домена Windows компьютер MultiPoint Server был добавлен в домен, а пользователь домена был добавлен в локальную группу администраторов в операционной системе узла служб MultiPoint.
Процедуры
Далее вы найдете следующие инструкции:
Создание шаблона для виртуальных рабочих столов
Прежде чем можно будет создать шаблон для виртуальных рабочих столов, необходимо включить функцию виртуальных рабочих столов на сервере MultiPoint Server.
Включение функции виртуальных рабочих столов
Войдите в операционную систему узла MultiPoint Server с учетной записью локального администратора или в домене, используя учетную запись домена, которая является членом локальной группы администраторов.
На начальном экране откройте диспетчер MultiPoint.
Следующим шагом является создание шаблона виртуального рабочего стола. Вы создаете файл виртуального жесткого диска (VHD), который можно использовать в качестве шаблона для создания виртуальных рабочих столов станции для MultiPoint Manager. можно использовать физический установочный носитель для Windows или. ISO-файл образа в качестве источника для шаблона. Можно также использовать. виртуальный жесткий диск Windows установки. Обратите внимание, что для использования физического установочного диска необходимо вставить диск перед запуском мастера.
Создание шаблона виртуального рабочего стола
Войдите в операционную систему сервера MultiPoint, используя учетную запись локального администратора, или доменную учетную запись, которая является членом локальной группы администраторов.
На начальном экране откройте диспетчер MultiPoint.
скопируйте Windows 10 Корпоративная iso-файл на локальный SSD.
На вкладке Виртуальные рабочие столы щелкните создать шаблон виртуального рабочего стола.
В поле префиксвведите префикс, который будет использоваться для указания шаблона и виртуальных рабочих столов, созданных с помощью шаблона. Префиксом по умолчанию является имя главного компьютера.
Введите имя пользователя и пароль для использования в качестве учетной записи локального администратора для шаблона. В домене введите учетные данные для учетной записи домена, которая будет добавлена в локальную группу администраторов. Эту учетную запись можно использовать для входа на шаблон и всех станций виртуальных рабочих столов, созданных на основе шаблона.
Нажмите кнопку ОКи дождитесь завершения создания шаблона.
Следующим шагом является настройка шаблона с программным обеспечением и настройками, которые нужны на виртуальных рабочих столах. Это необходимо сделать до создания виртуальных рабочих столов из шаблона.
Настройка шаблона виртуального рабочего стола
Войдите в операционную систему узла MultiPoint Server с учетной записью локального администратора или в домене с учетной записью домена в локальной группе администраторов.
На начальном экране откройте диспетчер MultiPoint.
Выберите шаблон, который требуется настроить, нажмите кнопку настроить шаблон, а затем нажмите кнопку ОК.
Доступны только шаблоны, которые не использовались для создания станций виртуальных рабочих столов. Если вы хотите обновить шаблон, который уже используется, необходимо создать копию шаблона с помощью задачи » Импорт шаблона «, описанной далее в статье Копирование существующего шаблона виртуального рабочего стола.
шаблон откроется в окне Подключение виртуальной машины Hyper-V, а автоматический вход выполняется с использованием встроенной учетной записи администратора.
На этом этапе можно установить приложения и обновления программного обеспечения, изменить параметры и обновить профиль администратора. Все изменения, внесенные во встроенный профиль администратора шаблона, будут скопированы в профиль пользователя по умолчанию на станции виртуальных рабочих столов, созданные на основе шаблона.
При подключении станций через домен рекомендуется создать локальную учетную запись пользователя и добавить ее в локальную группу администраторов во время настройки.
Если система перезапускается во время настройки шаблона, автоматический вход с использованием встроенной учетной записи администратора может завершиться ошибкой после перезагрузки системы. Чтобы обойти эту проблему, вручную Войдите в систему с помощью созданной учетной записи локального администратора, измените пароль встроенной учетной записи администратора, выйдите из системы, а затем снова войдите, используя встроенную учетную запись администратора и новый пароль. (Необходимо будет удалить профиль, который был создан при входе с использованием учетной записи локального администратора.)
После завершения настройки системы дважды щелкните ярлык комплетекустомизатион на рабочем столе администратора, чтобы запустить программу Sysprep, а затем завершите работу шаблона. во время настройки средство Sysprep удаляет все уникальные сведения о системе для подготовки к созданию образа Windows установки.
Создание рабочих столов виртуальных машин на основе шаблона
Когда шаблон виртуального рабочего стола настроен так, как вы хотите использовать настольные компьютеры, можно приступать к созданию виртуальных рабочих столов. Для каждой станции, подключенной к компьютеру MultiPoint Server, будет создан виртуальный рабочий стол. При следующем входе пользователя на станцию он увидит виртуальный рабочий стол вместо рабочего стола на основе сеансов, который отображался ранее.
Эта процедура работает, только если сервер MultiPoint работает в режиме станции. Если система находится в режиме консоли, можно переключиться в режим станции из диспетчера MultiPoint. Если вы используете параметры MultiPoint по умолчанию, можно также запустить режим станции, перезапустив компьютер. По умолчанию компьютер MultiPoint Server всегда запускается в режиме станции.
Создание виртуальных рабочих столов для станций
войдите в Windows MultiPoint server с удаленной станции (например, с компьютера Windows с помощью подключение к удаленному рабочему столу), используя учетную запись локального администратора или домен, учетную запись домена в локальной группе администраторов.
Кроме того, можно войти на сервер с помощью локальной станции. Тем не менее при создании виртуального рабочего стола для станции необходимо выйти из станции, которая использовалась для создания виртуального рабочего стола, чтобы подключить другую станцию к новому виртуальному рабочему столу.
На начальном экране откройте диспетчер MultiPoint.
Если компьютер находится в режиме консоли, переключитесь в режим станции:
На вкладке Главная щелкните Переключиться в режим станции.
После перезагрузки компьютера войдите в систему как администратор.
Выберите шаблон виртуального рабочего стола, который вы хотите использовать с станциями, щелкните создать виртуальные станции виртуальных рабочих столов, а затем нажмите кнопку ОК.
После завершения задачи каждая локальная станция будет подключаться к виртуальному рабочему столу на основе виртуальной машины.
Если учетная запись пользователя входит в систему на всех локальных станциях, необходимо выйти из сеанса, чтобы подключить ее к одному из вновь созданных виртуальных рабочих столов станции.
Копирование существующего шаблона виртуального рабочего стола
Используйте следующую процедуру, чтобы создать копию существующего шаблона виртуального рабочего стола, который можно настроить и использовать. Это может быть полезно в следующих ситуациях:
Чтобы скопировать главный шаблон из общей сетевой папки на главный компьютер MultiPoint Server, чтобы можно было создавать станции виртуальных рабочих столов из главного шаблона.
Для создания копии шаблона, который в данный момент используется, чтобы можно было выполнить дополнительные настройки.
Импорт шаблона виртуального рабочего стола
Войдите на сервер MultiPoint с правами администратора.
На начальном экране откройте диспетчер MultiPoint.
Щелкните Импорт шаблона виртуального рабочего стола, а затем с помощью кнопки Обзор выберите VHD-файл (шаблон), который требуется импортировать. При импорте шаблона выполняется копирование исходного VHD-файла. По умолчанию службы MultiPoint хранят VHD-файлы в папке К:\усерс\публик\документс\хипер-в\виртуал Hard Disks \.
Введите префикс для нового шаблона и нажмите кнопку ОК.
Если вы вносите дополнительные изменения в локальный шаблон, вы можете изменить имя префикса, увеличив номер версии в конце префикса. Или при импорте главного шаблона может потребоваться добавить версию главного шаблона в конец имени префикса по умолчанию.
После завершения задачи можно настроить шаблон или использовать его при создании станций.
Эта необязательная конфигурация в службах MultiPoint в основном предназначена для ситуаций, когда приложению требуется собственный экземпляр клиентской операционной системы для каждого пользователя. к примерам относятся приложения, которые не могут быть установлены на Windows сервере и приложениях, которые не запускают несколько экземпляров на одном компьютере.
Эти виртуальные рабочие столы, также известные как VDI, гораздо больше потребляют ресурсы по сравнению с сеансами по умолчанию для рабочих столов служб MultiPoint, поэтому рекомендуется по возможности использовать сеансы служб MultiPoint по умолчанию.
Предварительные требования
Чтобы подготовиться к созданию виртуальных рабочих столов станции, убедитесь, что система служб MultiPoint соответствует следующим требованиям.
Как быстро перевести компанию в онлайн с виртуализацией — Windows Virtual Desktop
Все переходим на «удалёнку»! Это стало главной задачей примерно 2 месяца назад, когда мир изменился. Компаниям, которые мы обслуживаем как архитекторы облачных решений, в дополнение к настройке VPN к своей инфраструктуре понадобились удалённые рабочие столы. Удалённые рабочие столы для компаний нельзя назвать новой потребностью, которая ранее не была закрыта в компаниях вообще – у многих были и есть крупные локальные фермы VDI и терминальные сервера. Из-за массовости и скорости необходимого перехода на первый план у заказчиков, в разной степени, появились следующие проблемы:
В этой статье мы расскажем о том, как планировать архитектуру при развёртывании Windows Virtual Desktop. Также обратим ваше внимание на несколько партнёрских решений, которые смогут качественно дополнить внедряемое.
Предоставление сервиса удалённых рабочих мест (VDI) и терминальных серверов в масштабах компании, даже небольшой, требует существенного объёма работы от администраторов. Большая часть времени уходит на настройку и интеграцию множества компонентов, из которых состоит эти сервис. Microsoft предлагает посмотреть на эту задачу по новому с Windows Virtual Desktop (WVD). WVD это облачный сервис по виртуализации десктопов и приложения на базе Microsoft Azure. Главные преимущества WVD включают:
WVD Fall 2019 Release (GA) и Spring 2020 Update (Preview)
30 апреля в WVD стал доступен новый функционал, который сгруппирован под названием Spring 2020 Update. Этот функционал сейчас доступен в Public Preview и на него не распространяется SLA. На GA функционал, предоставляемый в рамках предыдущей версии — Fall 2019 Update, предоставляется с SLA 99.9%. ВМ, на базе которых предоставляются пулы для пользовательских сессий, покрываются своим SLA 99.95%. Функционал, связанный с Spring 2020 Update, планируется к переводу в GA в течение 2020 года. Так же будут подготовлены инструменты миграции экземпляров, построенных на базе Fall 2019 release, в новую версию.
При развёртывании сервиса и работе с документацией необходимо обращать внимание на релиз, к которому применяется данная инструкция. Он чаще всего будет выглядеть так:
Оценка стоимости
| Тип | Описание | Доступность |
| Windows 10 и Windows 7 | Соответствующая лицензия Windows или Microsoft 365 позволяет использовать рабочие столы и приложения Windows 10 Корпоративная и Windows 7 Корпоративная без дополнительной платы. | Вы можете использовать Windows 10 и Windows 7 с Виртуальным рабочим столом Windows только при наличии одной из следующих лицензий «на пользователя»: * Microsoft 365 E3/E5; * Microsoft 365 A3/A5/Student Use Benefits; * Microsoft 365 F3; * Microsoft 365 бизнес премиум * Windows 10 Корпоративная E3/E5; * Windows 10 для образовательных учреждений A3/A5; * Windows 10 VDA на каждого пользователя. |
| Windows Server | При наличии соответствующей клиентской лицензии служб удаленных рабочих столов вы можете использовать рабочие столы и приложения служб удаленных рабочих столов Windows Server без дополнительной платы. | Вы можете использовать рабочие столы и приложения Windows Server 2012 R2 и более поздних версий только при наличии соответствующей клиентской лицензии служб удаленных рабочих столов «на пользователя» или «на устройство» с действующей программой Software Assurance (SA). |
На странице Windows Desktop Pricing в разделе Personal Desktop и Multi-session Desktop example scenarios приведены ссылки на расчёты в калькуляторе, которые компонуют необходимые дополнительные ресурсы, такие как облачное хранилище для контейнеров профилей, сетевой трафик и т.д. с точки зрения стоимости преимущества использования WVD максимально проявляет себя при использовании Windows 10 Enterprise multisession в сценарии использования совместного пула. При интеграции с локальным ЦОД в расчёт стоит дополнительно включать стоимость Azure VPN Gateway и исходящего трафика.
Архитектура Microsoft Windows Virtual Desktop
Понимание архитектуры WVD позволит вам принять правильные решения при планировании и развёртывания сервиса, а также выстроить корректные ожидания от его производительности.
Для обсуждения, давайте разобьём архитектуру на блоки:
Клиенты
Конечный пользователь может подключаться к сервису как с использованием тонкого клиента через веб браузер, так и через толстый клиент на Windows, Mac, iOS, Android (все клиенты здесь). После авторизации пользователь видит иконки для подключения к удалённым десктопам или приложениям RemoteApp. Доступ к удалённым десктопам происходит по протоколу RDP поверх HTTPS. Дополнительным преимуществом использования толстого клиента на Windows является то, что опубликованные приложения синхронизируются в меню Старт.
Доступ происходит к единой публичной отказоустойчивой (SLA 99.5%) точке сервиса по адресу https://rdweb.wvd.microsoft.com/. Кастомизировать URL возможно с использованием сервиса Azure Front Door как описано здесь.
При логине в сервис используется учётная запись в Azure Active Directory (aka Azure AD), который вам необходимо иметь или создать. В облачной Azure AD необходимо создать учётные записи для пользователей или настроить синхронизацию УЗ через Azure AD Connect из вашей локальной сети. Для повышения безопасности доступа при аутентификации пользователя можно настроить использование Azure MFA, а так же создать другие дополнительные политики аутентификации с использованием Conditional Access (как описано здесь)
Для усиления безопасности функции клиента можно ограничить через кастомные настройки RDP, такие как отключение работы буфера обмена (clipboard), проброса локальных дисков внутрь удалённой сессии и т.д. Настройка производится как описано здесь, полный список свойств, которые можно использовать, можно посмотреть здесь.
Windows Virtual Desktop
Это управляемая Microsoft-ом часть сервиса Windows Virtual Desktop, отвечающая за авторизацию пользователей, безопасный доступ к пулам десктопов, логгирование событий сервиса. Подключение к ВМ происходит с использованием подхода «reverse connect» – авторизации/аутентификации подключения по WebSocket по 443-порту с инициацией со стороны ВМ. Таким образом из Интернет не предоставляется прямой доступ к ВМ и нет открытых в Интернет портов. Процесс открытия сессии выглядит следующим образом:
Облачная часть
При создании экземпляра сервиса WVD, в Azure AD создаётся конфигурационная запись WVD tenant (тенанта). В Azure SQL DB управляемой части сервиса хранятся т.н. метаданные, относящиеся к ресурсам этого тенанта: соответствие десктопов и приложений пользователям, конфигурация пулов, список опубликованных приложений и так далее. В Fall 2019 Release эти данные хранятся в ЦОДах в США (см здесь). По мере развития сервиса Spring 2020 Release появится возможность хранить метаданные в других регионах, в том числе в West Europe.
Сессионные ВМ, на базе которых предоставляются десктопы и приложения, а так же профили пользователей хранятся в регионе Azure (ЦОДе), который вы выберите при развёртывании этих компонентов. Для максимальной производительности все компоненты сервиса стоит располагать в едином регионе.
Свой ближайший ЦОД вы сможете выбрать с использованием инструмента Windows Virtual Desktop Experience Estimator, который измерит задержку (RTT – round trip time) от вашего рабочего места до ЦОДа и обратно. По опыту работы для большинства пользователей из России ближайшим является регион West Europe.
Конечные пользователи и их техническая поддержка смогут в процессе работы мониторить производительность удалённого подключения с использованием Connection Experience Indicator for RDS & WVD.
Необходимым условием развёртывания экземпляра сервиса является присоединение виртуальных машин пула к AD DS. AD может быть как облачной на базе Azure AD (AAD DS), так и на базе локального AD. При настройке WVD для большинства сценариев подходит использование Azure AD DS, он достаточно быстро и просто настраивается. AAD DS также поддерживает работу с групповыми политиками.
Если вам необходима интеграция с локальным AD, тогда необходимо настроить VPN из Azure в локальную инфраструктуру. Об этом подробнее расскажем в разделе «локальная часть». Для развёртывания AAD DS в виртуальной сети в Azure необходимо создать выделенную подсеть. При развёртывании AAD DS будет необходимо указать УЗ, которую можно будет использовать для введения ВМ в домен. Для данной УЗ будет необходимо произвести процедуру сброса пароля для синхронизации хэша пароля в формате, который использует сервис по процессу, описанному здесь. После развёртывания AAD DS, необходимо в настройках сервиса указать его как источник DNS записей для вашей виртуальной сети.
При создании пула сессионных ВМ вы можете воспользоваться предложенным размером ВМ – D4s_v3 (4 vCPU, 16GB памяти) или указать более подходящий вам. Критичным может оказаться выбор размера ВМ в пуле. Одним из подходов к определению размера ВМ является разделение пользователей по типам: Light, Medium, Heavy и Power, которым будут соответствовать конфигурации как описано здесь.
Это подход может помочь при бюджетной оценке решения и первом подходе, но реальность внесёт свои коррективы. Для эмпирической оценки мощностей необходимых для обеспечения работы ваших пользователей можно использовать бесплатную версию SysTrack Windows Virtual Desktop Assessment.
Ресурсы в пулах представляются в двух вариантах – pooled и dedicated – совместные и выделенные ВМ. При использовании «совместного» пула несколько пользователей могут подключаться на одну ВМ в формате терминального сервера, в «выделенном» — ВМ закрепляется за конкретным пользователем. При начале работы с WVD можно начинать рассмотрение с ВМ серии:
Рекомендуемым типом диска для ВМ в пулах WVD является SSD диск типа «Premium». Диск для данного типа в стандартных образах ОС имеет размер 128GB (P10) и соответствующей этому размеру производительность – 500 IOPS (кратковременная пиковая до 3.5K IOPS), 100 MiB/sec. Производительность локального диска можно поднять, увеличив его размер до 2TB (P40).
По умолчанию профили пользователей размещаются на локальных дисках виртуальных машин в пуле. Ограничение такого подхода, является как сравнительно небольшая максимальная производительность локальных дисков, так и доступность профиля при выходе ВМ из строя при сбое или апгрейде. Вторым вариантом является размещение профиля на сетевом диске. Существует несколько технологий удалённого хранения профиля пользователей — Roaming user profiles (RUP), User profile disks (UPD), Enterprise state roaming (ESR). Каждый из этих подходов имеет свои ограничения при обеспечении работы подробно описанные здесь.
В 2018 году Microsoft приобрёл технологию FSLogix, которая решает многие вызовы при работе с профилями. При подключении к удалённому десктопу или запуске удалённого приложения, через сервис WVD, FSLogix динамически подключается к сетевому ресурсу и с него подключает контейнер c профилем пользователя. FSLogix так же интегрируется с облачным решением Azure Files (SLA 99.9%) и AD – как облачным так и локальным. Ввиду высокой скорости работы и соотношения цена/функционал связка FSLogix/Azure Files/Azure AD является отличным вариантом для использования совместно с WVD.
Для высокой масштабируемости и производительности Azure Files (до 100K IOPS, 5GBps пропускной способности при задержке в 3ms) рекомендуется использовать редакцию Premium. При использовании редакции Premium производительность папки завязана на её размер, и как результат на стоимость. Более подробно о расчёте производительности и цены для редакцию Premium смотрите здесь. Стоит обратить внимание на возможности в Premium редакции накапливать «кредиты» и использовать их для кратковременного ускорения при пиковых нагрузках.
Ввиду необходимости подключения контейнера FSLogix к ВМ с ACL соответствующими пользователю необходимо интегрировать сервис с AD – облачным или локальным. Интеграция Azure Files c Azure AD доступна в GA, тогда как интеграции с локальным AD сейчас находится в Preview. Подключение ВМ к Azure Files так же возможна с применением Private Endpoint, которые предоставляют доступ к сервису с использованием приватной адресации в Azure.
Сценарии и преимущества других вариантов хранения профилей с использованием FSLogix таких как Azure NetApp Files или Storage Spaces Direct описаны здесь. При использовании контейнеров FSLogix необходимо обратить внимание на их размер по умолчанию (30GB) и ознакомиться с возможными инструментами для управления ими.
Для оценки производительности ВМ в пуле, можно воспользоваться встроенным средством Azure Monitor.
При развёртывании WVD необходимо заранее запланировать распределение подсетей внутри виртуальной сети Azure. В зависимости от конфигурации, которую вы развёртываете, вам могут потребоваться:
При необходимости включения в образ дополнительного ПО это можно сделать несколькими способами:
Локальная часть
Интеграция с корпоративными приложениями и ресурсами «локального» ЦОД может осуществляться через site-to-site VPN, построенный на базе Azure VPN Gateway или Network Virtual Appliance (NVA). При развёртывании Azure VPN Gateway необходимо создать отдельную подсеть с зарезервированным названием GatewaySubnet с минимальным размером в /27. NVA развёртываются на базе ВМ, без определённых требований к наименованию подсети. В случае использования NVA, направить трафик на него возможно с помощью User Defined Routes.
NVA может как передавать весь трафик для фильтрации в локальном ЦОД, так и фильтровать его в облаке. При использовании Azure VPN GW установить ограничения трафика на L4 можно с помощью Network Security Group (NSG), которую необходимо применять на подсеть с ВМ, входящими в пул. При фильтрации трафика, стоит принять ко вниманию, что для корректного функционирования WVD пулу ВМ необходим доступ к списку URL. NSG позволяют предоставлять доступ к сервисам на базе Service Tags (коллекции IP адресов, которые относятся к каждому сервису). Фильтровать трафика в Azure на базе URL можно через NVA (в облаке или локальном ЦОДе) или через Azure Firewall. Для минимизации задержек рекомендуется использовать решение для фильтрации, расположенное в Azure.
При развёртывании VPN-решения стоит обратить внимание на его пропускную способность. При использовании NVA производительность определяется лицензией и сетевой картой выбранной вами ВМ. Для развёртывания Azure VPN GW используется SKU соответствующей производительности. Необходимо обратить внимание, что в дополнение к почасовой стоимости Azure VPN GW или ВМ для NVA также оплачивается исходящий из облака трафик.
Пропускная способность, необходимая для работы разных профилей пользователей, доступна здесь. Для расчёта передаваемого объёма траффика для «бюджетной» оценки можно использовать следующие цифры:
Light: 75Kbps
Medium: 150Kbps
Heavy: 500Kbps
Power: 1000Kbps
Для точной оценки объёма используемого трафика его следует замерить на сетевом оборудовании или ПО, таком как бесплатная версия SysTrack Windows Virtual Desktop Assessment
Заключение
Удалённая работа стала реальностью почти для всех нас и вероятно может остаться такой на достаточно длительное время. Microsoft понимает это и делает создание и поддержание инфраструктуры для предоставления удалённых рабочих мест и приложений максимально простым и экономически доступным. Используя WVD для обеспечения удалённой работы вы сможете достигать большего быстрее.