Generate View 5.1 Certificates

Publié le par
Répondre

This is the English version of my previous post as it may help many many people ;-)

So what you need is :

1 -A CA Server, in my case I installed the following role on a Windows 2008 R2 AD controler :

  • Certification Authority
  • Certification Authority Web Enrollment

2 – OpenSSL to create certificates, personal I mounted a Windows 2003 R2 32-bit using Win32 OpenSSL 1.0.1c (some have had problems with Win64 OpenSSL).

 

Once everything are ready  :

1 – We generate the private key and the .csr file: (a council type the following command : SET OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg)

# openssl.exe req -newkey rsa:2048 -keyout <hostname>.key -nodes -days 3650 -out <hostname>.csr

Like  :

Note: I don’t set anything for « Challenge password » or for « An optional company name » and be careful to put the fqdn of View Connection Server to the « Common Name »

2 -After editing the file <hostname>.csr and makes a « copy » of its contents, connect to the server certificate using IE or Firefox (or what ever you want):

Select : « Advanced certificate request »

Select: « Submit a certificate request ….. »

Past the content of the .csr file  and select « Web Server » as template.

Retrieve the signed certificate and name it <hostname>.crt (Select Base 64 encoded) :

Cop the file to C:\OpenSSL-Win32\bin\

Execute the following command :

# openssl.exe pkcs12 -export -in <hostname>.crt -inkey <hostname>.key -name vdm -passout pass:testpassword -out <hostname>.pfx

Example :

Now copy the generated  <hostname>.pfx file on the View Connection Server and :

Start mmc:

Add Snap-In « Certification »

Choose « Computer account » then « Local Computer »

Import <hostname>.pfx certificate :

Type password (testpassword dans notre cas)

And then rename the « Friendly Name » of the previous certificate to what you want (vdmold in my case)

Now restart the « VMwareVDMDS » (Restarting this services will restart all View Services).

Now do the same thing for all View Connection Server, View Security Server, Composer (for this one there is no « Friendly Name »).

Note : I personally recommend to create and import certificates before installing View 5.1 ,like this it will use the signed certificate instead of creating one.

Générer un certificat valide pour View 5.1

Publié le par
Répondre

Désormais View 5.1 demande à ce que les certificats soit signés par une autorité de certification, peut importe que ce soit par un organisme officiel tel que Verisign (ou autre) ou tout simplement par un CA Root propre à l’entreprise.

J’ai donc bataillé sec, n’étant pas un spécialiste des certificats pour y arriver ;-)

Donc pour y arriver il nous faut :

1 – Forcement un serveur CA, perso j’ai installé les services suivants sur mon contrôleur de domaine Windows 2008 R2 :

  • Certification Authority
  • Certification Authority Web Enrollment

2 – OpenSSL pour créer les certificats, perso j’ai monté un serveur Windows 2003 R2 32 bits en utilisant Win32 OpenSSL 1.0.1c (certains auraient eu des problèmes avec Win64 OpenSSL).

Une fois les outils en place :

1 – On commence par créer le certificat : (un conseil taper la commande suivante : SET OPENSSL_CONF=C:\OpenSSL-Win32\bin\openssl.cfg)

# openssl.exe req -newkey rsa:2048 -keyout <hostname>.key -nodes -days 3650 -out <hostname>.csr

Cela donne un truc du genre :

Note : J’ai rien mis pour le « Challenge password » ni pour « An optional company name » et attention de bien mettre le fqdn du View Connection Server pour le « Common Name »

2 – Après avoir édité le fichier <hostname>.csr et fait un « copier » de son contenu, on se connecte sur le serveur de certificat :

Puis on sélectionne « Advanced certificate request »

 

Là un petit : « Submit a certificate request ….. »

Ensuite on  copie notre certificat dans la case qui va bien et on sélectionne « Web Server » comme template.

Et enfin on récupère le certificat signé (dans l’exemple je l’ai renommé en <hostname>.crt) :

On le copie dans le répertoire C:\OpenSSL-Win32\bin\

et on exécute la commande suivante :

# openssl.exe pkcs12 -export -in <hostname>.crt -inkey <hostname>.key -name vdm -passout pass:testpassword -out <hostname>.pfx

Ce qui nous donne :

Maintenant une fois cela fait, on copie le fichier  <hostname>.pfx sur le View Connection Server et :

On lance la mmc:

On ajoute le Snap-In « Certification »

On choisi « Computer account » puis « Local Computer »

Là, on importe le certificats au format .pfx.

On tape le mot de passe (testpassword dans notre cas)

Et enfin on renomme le Friendly Name de l’ancien certificat en « vdmold  » :

Et pour finir on redémarre le service « VMwareVDMDS » (qui à l’avantage de redémarrer tout les services View).

Et voilà…reste à faire la même chose pour les autres brokers.

Note : Il est recommandé de créer et d’importer les certificats avant l’installation de View 5.1, ainsi il utilisera directement le certificat signé et n’aura pas besoin d’un créer un.

 

[VDI] Déployer des VM sous Windows 7 avec Composer/Quickprep sans serveur KMS

Publié le par

Une des particularités du service VMware Composer dans les VMs est d’enregistrer automatiquement la licence de Windows 7 sur le serveur KMS lorsque l’on utilise Quickprep.

Si il y a pas de serveur KMS, le provisioning se trouve bloqué et passe en « Time Out » faute d’avoir pu enregistrer la VM.

Mise à part mettre un serveur KMS (qui est d’ailleurs la seule solution supportée pour déployer du Windows 7) ou utiliser Composer avec Sysprep, la solution vient par la modification de la clé de registre suivante qu’il faut passer à « 1″

HKLM\system\CurrentControlSet\services\vmware-viewcomposer-ga\SkipLicenseActivation

Attention toute fois, les VMs tourneront en version d’évaluation jusqu’à ce que la licence soit activée.

Publié dans VDI

[Livre] Sortie proche de deux livres en Français sur VMware vSphere 5 et View

Publié le par

A noter la sortie Lundi 9 Janvier du nouveau livre d’Eric Maillé : VMware vSphere 5 au sein du Datacenter.

VMware vSphere 5 au sein du Datacenter

Eric est bien connu pour avoir déjà sortie VMware vSphere 4 : mise en place d’une infrastructure virtuelle.

L’autre nouveauté qui est attendu pour le 6 Fevrier est le livre de Damien Bruley : VMware View – Virtualisation des postes de travail (architecture, déploiement, bonnes pratiques…)

VMware View - Virtualisation des postes de travail (architecture, déploiement, bonnes pratiques...)

Dès que j’aurais l’occasion de lire je vous ferrai un retour dessus…

Installer vCenter sur un controlleur de domain

Publié le par

Lorsque l’on veux monter un environnement de test sur un laptop par exemple, on  est souvent confronté à la faible quantité de mémoire disponible sur la machine hôte et donc au nombre de VM total que l’on pourra faire tourner. Le problème c’est que si on un environnement complet il faut un contrôleur de domaine (sic!!) et que vCenter ne s’installe pas sur un contrôleur de domaine (re-sic!!).

La solution la voici mais attention c’est pour du lab et en aucun cas supporté par VMware.

1. Faire l’installation de vCenter Server sur un serveur en Workgroup
2. Lors de l’installation de vCenter, modifié les ports par défaut de LDAP et SSL :

3. Puis continuer l’installation normalement.
4. Une fois l’installation terminé, faite un dcpromo du vCenter

 

Ajout d’un périphérique USB connecté à un ESX dans une VM

Publié le par

A partir de vSphere 4.1 il est possible de connecter un périphérique USB présent sur l’ESX(i) mais il y a tout de même quelques restrictions et limitations à cela (voir KB:

Restrictions :

Le « passthrough » pour les devices USB requière:

  • Virtual hardware version 7 ou supérieur
  • Un USB Arbitrator
  • Un contrôleur USB
  • Un hub ou un périphérique USB

Limitations :

Les limitations du contrôleur USB sont les suivantes :
  • Les modules et le matériel des controlleurs USB qui supportent les périphériques USB 2.0 et 1.1 doivent être présent sur serveur ESX.
  • Il est possible d’ajouter uniquement un contrôleur USB à chaque machines virtuelles
  • L’USB arbitrator peut monitorer un maximum de 15 contrôleur USB.
  • Il est impératif d’ajouter un contrôleur USB à la VM avant de pouvoir ajouter un périphériques USB
  • Il est impératif de supprimer tout les périphériques USB avant de supprimer le contrôleur USB de la VM.

Les limitations des périphériques USB sont les suivants :

  • Vous pouvez ajouter plusieurs périphériques USB à une machine virtuelle qui réside sur un hôte ESX / ESXi pour laquelle les périphériques sont physiquement attachés.
  • Un périphérique USB est disponible pour une seule machine virtuelle à la fois.
  • Vous pouvez ajouter jusqu’à 20 périphériques USB à une machine virtuelle.
  • Les périphériques USB non supportés peuvent ne pas interagir comme prévu avec les autres fonctionnalités des ESX / ESXi. Pour une liste des périphériques USB pris en charge, voir le KB1021345.
  • Avant  d’ajouter à chaud de la mémoire,  des CPU, ou des périphériques PCI, vous devez supprimer tous les périphériques USB. Ajouter à chaud ces ressources déconnecte les périphériques USB, ce qui peut entraîner la perte de données.
  • Lorsque l’on fait un « suspend »  et un « resume » d’une machine virtuelle, les périphériques USB se comportent comme s’ils ont été débranchés, puis reconnectés.
  • La machine virtuelle ne peut pas booter à partir du périphérique USB connecté.
  • Il est possible de faire un vMotion de la VM mais de lors que la VM ou le serveurs ESX sur lequel est connecté le périphérique USB est éteint, la connexion sera perdu.

Pour connecter un périphérique USB :

Ajouter le contrôleur à la VM :

1 – Edit Settings
2 – Add Hardware
3 – Sélectionner USB Contrôleur

Une fois le contrôleur ajouté il suffit d’ajouter le périphériques USB :

1 – Edit Settings
2 – Add Hardware
3 – Sélectionner USB Device

4 – Sélectionner le périphérique USB que vous voulez ajouter à la VM

Et voilà :)

VMware View Client pour Mac OS X

Publié le par

Certains d’entre vous l’attendez, le voici donc : Le client View pour Mac est disponible (ok en Preview mais c’est déjà ça) à l’addresse si-dessous :

http://communities.vmware.com/community/vmtn/desktop/view/client_for_macosx

We are pleased to annouce that VMware View Client with PCoIP for Mac OS X Tech Preview is now available for download!

 

Features In the VMware View Client for Mac OS X

  • Support for Intel-based Macs
  • PCoIP protocol optimized for VMware View 5
  • Full screen support for Mac OS X Lion users
  • Copy and Paste plain text between View 4.x virtual machines and Mac
  • Copy and Paste text, formatted text, and graphics between View 5.x virtual machines and Mac
  • Support optional RSA authentication
  • Enhanced certificate checking
  • Add up to 4 VMware View server shortcuts in VMware View Client

 

Publié dans VDI

[Tips] Utilisation du scripte de déploiement de VMs sans DHCP sous Windows 7 Fr

Publié le par

Le scripte précédent utilise « Local Area Connection » pour NetSh, le problème est que sur un Windows 7 Français le nom de l’interface est « Connexion au réseau Local » et du coup la commande NetSH dans le batch se retrouve en « Connexion au rÙseau Local » .

Le truc et le suivant

  1. En tant qu’administrateur, éditer le fichier %winnt%System32autoexec.nt
  2. Ajouter la ligne suivante à la fin « kb16 fr »
  3. Lancer cmd.exe puis edit.exe
  4. Editer le fichier ChangeIP.bat pour bien lire « réseau »
  5. Sauvegarder et là c’est bon
Et oui cela rappel le bon vieux temps de DOS ;-)

[batch] Déploiement de VMs VDI en IP fixe

Publié le par

Il peut arriver que l’on soit obligé de déployer des VMs VDI dans un réseau sans DHCP ce qui forcement pose un petit problème lorsque l’on automatise la création des VMs sous View avec Composer par exemple et que l’on ne veux pas de post-configuration manuelle.

Voici donc un méthode pour scripter la configuration d’IP fixes travers d’un scripte dans la VM (à l’inverse du poste précédent où le scripte PowerShell été externe) :

  1. Tout d’abord on créer un répertoire « c:NoDHCP  » dans lequel on va mettre le scripte « ChangeIP.bat » et le fichier « hostnames.txt »
  2. Lancer « gpedit.mmc » puis aller dans « Computer Configuration » \ « Windows Settings » \ « Scripts (Startup/Shutdown) », puis double-click sur Startup et là indiquer le scripte sans paramètre supplémentaire
  3. Editer le fichier ChangeIP.bat pour modifier la passerelle et le masque de sous-réseau ainsi que l’interface à utiliser
  4. Modifier le fichier hostnames.txt pour lire sur chaque ligne <hostname de la vm>,<ip>
Note : il est aussi possible d’ajouter les lignes suivantes au script pour définir les serveurs DNS et WINS:
  • netsh set dns « Local Area Connection » ipaddress
  • netsh add dns « Local Area Connection » ipaddress index=2
  • netsh set wins « Local Area Connection » ipaddress
  • netsh add wins « Local Area Connection » ipaddress index=2
Voici le scripte en question :
REM Elvedin Trnjanin - etrnjanin_%at%_vmware.com

@echo off

REM Change directory to where Hostnames.txt is located
REM Permission to create, write, delete a file is required

cd C:NoDHCP

REM Looks for this system's Computer Name in the Hostnames.txt files
REM Creates a tempfile to output the results of findstr, deletes the temp file
REM /I matches if at the beginning of line, /B is case insensitive matching

findstr /I /B %COMPUTERNAME% Hostnames.txt > tempfile
SET /p found= < tempfile
DEL tempfile

REM Checks if the results from findstr include this system's Computer Name.
REM If not, the variable should be empty and the script should exit

if "%found%" == "" (
echo NoDHCP: Could not find hostname to IP mapping, exiting...
EXIT
)

REM Splits the findstr results

for %%a in (%found%) do (
set ip=%%a
)

REM Sets the IP address found above to local connection
REM Windows XP/Windows 7 interface name should be "Local Area Connection"
REM Windows 8 interface name should be "Wired Ethernet Connection"

netsh interface ip set address name="Local Area Connection" static %ip% 255.255.255.0 192.168.0.1 1

REM Unsets the two environment variables used above

set found=
set ip=
Publié dans VDI