Uso de VMware Horizon 7 👨‍💻 para acceder a máquinas físicas de Windows 💻

Saludos !! Cuando se enfrentan a eventos impredecibles como por ejemplo brotes de salud pública, se les pide a las organizaciones que tomen medidas y permitan que su fuerza laboral acceda a los recursos corporativos de forma remota. En muchos casos, el usuario tiene una máquina física con Windows ubicada en su lugar de trabajo normal, la oficina. Esa máquina tiene todas las aplicaciones, acceso a datos y herramientas que el usuario necesita para hacer su trabajo. El desafío es que el usuario no puede acceder físicamente a su máquina.

La intermediación a máquinas físicas se puede implementar con un entorno Horizon 7 existente o con uno nuevo. Con componentes mínimos requeridos, esta solución se puede implementar rápidamente.

Horizon 7 permite el acceso a máquinas físicas basadas en la oficina mediante el uso de unos pocos componentes principales de Horizon:

1. El cliente VMware Horizon® se autentica en un servidor de conexión Horizon.
2. El servidor de conexión establece una conexión con un agente de Horizon que se ejecuta en un escritorio o servidor administrado por Horizon. Para este caso de uso, Horizon Agent se instala en máquinas físicas con Windows 10.
3. Horizon Client luego forma una conexión de sesión de protocolo a un Horizon Agent en la máquina física.

Nota: Horizon Client está disponible para todas las plataformas principales del sistema operativo, incluidos Windows, Mac, Linux, iOS, Android, Chrome OS y también como acceso HTML

Versiones

Arquitectura y Diseño

Componentes

Dimensionamiento

Puertos de red

Para garantizar una comunicación correcta entre los componentes, es importante comprender los requisitos del puerto de red para la conectividad en una implementación de Horizon 7. El siguiente diagrama muestra los puertos necesarios para permitir una conexión Blast Extreme.

Los puertos de red que se muestran son puertos de destino. Las siguientes tablas muestran más detalles e indican el origen, el destino y la dirección de inicio del tráfico. Los protocolos Horizon UDP son bidireccionales. Los firewalls con estado deben configurarse para aceptar datagramas de respuesta UDP.

El siguiente diagrama muestra los puertos necesarios para permitir una conexión RDP.

• Guia de puertos de VMware HZN 7

Implementación

Esta sección proporciona una descripción general del proceso de implementación de Horizon 7. Esto supone que aún no tiene un entorno Horizon 7 en su lugar. Si existe un entorno de Horizon 7 existente, es posible que pueda usarlo en lugar de configurar un entorno separado.

A un alto nivel, los pasos involucrados son:

1. Instale y configure los servidores de Horizon Connection.
2. Instalar y configurar puertas de enlace de acceso unificado.
3. Instale Horizon Agent en las máquinas físicas.
4. Configure el grupo de escritorios: agregue máquinas físicas, autorice y asigne usuarios

Consideraciones

Antes de implementar y configurar la solución, tenga en cuenta lo siguiente y ajuste la configuración de la solución en consecuencia.

Configuraciones de la máquina

Evalúe las políticas de energía para las máquinas físicas y realice cambios para minimizar la posibilidad de que las máquinas físicas se apaguen.

• Todas las opciones de ahorro de energía en máquinas físicas deben estar deshabilitadas. Esto se puede hacer mediante el uso de una política de grupo (GPO).
• Si una máquina física se bloquea o se apaga, no será posible el acceso remoto hasta que se reinicie.
• Las Políticas de grupo se pueden usar para deshabilitar la opción de apagado para que los usuarios minimicen el riesgo de esto.
• El uso de Wake-On-LAN también podría considerarse para garantizar que las máquinas estén encendidas.

Asignación de usuario

Comprenda cómo los usuarios usan normalmente sus escritorios, qué tipo de grupo de escritorios es el más adecuado y cómo se les debe asignar acceso a los usuarios.

Un usuario por PC física

• En este caso de uso, cada máquina física tiene un solo usuario primario.
• Se utilizarán grupos de escritorios manuales.
• Se utilizará la asignación de usuario dedicada.
• Los usuarios serán asignados a su escritorio físico específico dentro del grupo.

PC físicas agrupadas

• Esto es típico en un escritorio dinámico o un entorno compartido donde los usuarios pueden usar cualquiera de un grupo de PC físicas.
• En entornos como estos, la administración de perfiles y los sistemas de implementación de aplicaciones ya están implementados.
• Se utilizarán grupos de escritorios manuales.
• Se utilizará la asignación de usuario flotante. Esto garantiza que a un usuario no se le asigne la propiedad permanente de ninguna máquina física en particular, lo que excluiría a otros usuarios de usarla incluso cuando estuviera disponible.

RDP y autenticación de nivel de red

Si usa el protocolo RDP, asegúrese de que la autenticación de nivel de red (NLA) esté deshabilitada en Windows. Consulte los artículos de la base de conocimientos de VMware. La conexión de escritorio remoto con NLA no es compatible con Horizon View (67832) y la conexión a los escritorios View usando el protocolo RDP falla con el código de error 2825 (1034158) para obtener más detalles

Cliente Mac

Horizon Client para Mac no admite el uso del protocolo de visualización RDP. Si los dispositivos Mac se usan como clientes, verifique que la combinación de la versión de Windows en la PC física y la versión de Horizon 7 admitan el uso de Blast

Requisitos

Horizon 7 requiere una infraestructura de Microsoft Active Directory para la autenticación y administración de usuarios. Los niveles funcionales de dominio de los Servicios de dominio de Active Directory (AD DS) compatibles son:

• Windows Server 2016
• Windows Server 2012 R2
• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008

Servidores de conexión

El software Horizon Connection Server debe instalarse en los servidores de Microsoft Windows. Deben ser servidores dedicados sin ningún otro software empresarial instalado. Windows Server 2019, 2016 o 2012 R2 es compatible.

Se recomienda que a estos servidores de Windows se les asigne al menos 4 vCPU y al menos 10 GB de RAM

Instalación

Esta guía no pretende reemplazar la documentación de Horizon 7 . Siga las secciones relevantes de la documentación de instalación de Horizon 7 para instalar los siguientes componentes en el siguiente orden:

1. Instale el primer servidor de conexión estándar: consulte Instalar el servidor de conexión Horizon con una nueva configuración .
2. Instale un segundo servidor de conexión: consulte Instalar una instancia replicada de Horizon Connection Server.
3. Repita el paso 2 para todos los demás Servidores de conexión necesarios.

Configuración posterior a la instalación

Conéctese al primer servidor de conexión y realice las siguientes tareas en el siguiente orden:

1. Aplicar una clave de licencia: consulte Instalar la clave de licencia del producto .
2. Configurar informes de eventos: consulte Configuración de informes de eventos.
3. Asigne administradores y roles: consulte Configuración de la administración delegada basada en roles.

Cuando instala por primera vez un servidor de conexión, utiliza certificados autofirmados. VMware no recomienda que los use en producción. En un nivel alto, los pasos para reemplazar los certificados en los servidores de conexión son:

1. Cree un archivo de configuración de solicitud de firma de certificado (CSR). Este archivo se utiliza para generar la CSR para solicitar un certificado.
2. Una vez que reciba el certificado firmado, impórtelo.
3. Configure Horizon 7 para usar el certificado firmado.

Unified Access Gateways

Unified Access Gateway es un dispositivo Linux reforzado que está disponible como un archivo OVF (formato de virtualización abierto) descargable. Al implementar para proporcionar servicios de borde seguros para Horizon, se debe usar el tamaño estándar. Esto asigna 2 vCPU y 4 GB de RAM al dispositivo

Certificados

Los certificados TLS / SSL se utilizan para asegurar las comunicaciones para el usuario entre Horizon Client y Unified Access Gateway y entre Unified Access Gateway y los recursos internos

Instalación de Horizon Agent

Debe instalar Horizon Agent en las máquinas físicas para registrarlos con los Servidores de conexión, de modo que luego pueda agregarlos de un grupo de escritorio manual.

Script de automatización

Para automatizar la instalación silenciosa y más, se ha desarrollado un script de PowerShell que implementa de forma remota y silenciosa el agente Horizon. Esto se puede descargar en https://github.com/andyjmorgan/HorizonRemotePCHelperScripts

Pool de escritorio

Se debe crear un grupo de escritorios manual para contener las máquinas físicas registradas que han instalado Horizon Agent.

Al definir el grupo de escritorios, use la siguiente configuración:

Una vez que se crea el grupo, se requieren tres pasos para agregar y preparar una máquina física para que el usuario se conecte.

1. Agregar : la máquina física se agrega al grupo de escritorios.
2. Derecho : el usuario tiene derecho a usar el grupo de escritorios, ya sea a través de un derecho de usuario o de grupo. 
3. Asignar : si el caso de uso es Un usuario por PC física y el grupo de escritorios utiliza asignaciones dedicadas, el usuario debe asignarse al escritorio correcto. Este paso no es necesario para las PC físicas agrupadas.

Cliente Horizon

Idealmente, los usuarios deben instalar Horizon Client en la computadora de su casa o dispositivo personal.

El cliente se puede descargar de varias maneras. Los clientes se pueden descargar de VMware, en https://www.vmware.com/go/viewclients . Si el dispositivo de punto final es Android o iOS, Horizon Client también se puede encontrar en Google Play Store y Apple App Store.

Espero Hayan disfrutado de este Post !!