Thinstation 方案搭建
简介
thinstation方案 可以通过远端的廋客户端登录到服务器,廋客户端对电脑的配置要求不高,可以重新使用老旧的电脑,从而可以降低企业的部分成本。
这里服务器使用的是win2012,廋客户端使用的是开源的thinstation。
linux pxe启动 thinstation 客户端启动请参见:
thinstation編譯環境搭建以及編譯簡介
使用haproxy实现第三方的负载均衡:
用haproxy实现RDP会话负载均衡
thinstation 参考网站:
Win2012 VDI介紹
有两种模式
基于虚拟机模式,每个用户都对应到后台共享虚拟机Pool中的一台虚拟机(xp/w7/w8)
基于Session模式,多个用户登录到同一台2012server,使用服务器上面安装的服务,可建多台server做负载均衡
RDconnection Broker:JNS5211
RDweb access:JNS5212.
RDSeesionHost:JNS5213/JNS5214/JNS5315/JNS5216/JNS5217/JNS5218
WIN2012VDI 安裝
先安裝好所有服務器的OS並加入域
远端桌面连到JNS5211,在伺服器管理员把RDS所有服务器加进来
新增角色—RDS
選擇標準安裝
選擇Session模式
出現提示畫面,需要安裝3個角色,所以至少要先準備好3台服務器
依次把Server加入對應的角色,RDSH可以加多台
安裝完成
出現提示畫面,需要安裝3個角色,所以至少要先準備好3台服務器
依次把Server加入對應的角色,RDSH可以加多台
安裝完成
RDS管理
安裝完成後,伺服器管理员就會多出來远端桌面服务
远端桌面服务:RDgateway和License兩個角色未安裝
增加Collection
首先要設定的就是增加一個集合Collection,並做相關設定.下面圖示是已經加過集合了,後面幾頁會逐一解釋每個設定
RDSHCollection設定
远端桌面服务—RDSHCollection
RDSHCollection-設定使用者權限,後面把帳號加到2012VDIGroup就可以
RDSHCollection—可以設定每個Seesion時間限制,暫未設定
RDSHColltection—把NLA關掉了,否則linuxrdesktop就連不上了
RDSHCollection—目前兩台權重一樣,會平均分配負載
RDSHCollection—本地設備重定向,這部分還可以通過組策略來做,而且優先級比這裡的設定高
RDSHColltection—Userprofile disk實際會為每個人建立一個VHDX文件,存放User的個人設定(outlook/lync/桌面/Mydocuments等),User登陸後把這個虛擬硬盤掛上
RDSHAPP安裝
Colltection裡面的每一台Server要安裝相同的程序
程序安裝最好使用下面位置的安裝精靈,否則安裝完成必須在command模式執行changeuser /execute
Uesr Home目錄
服務器使用JNS1102(原來的JNS0103)
設置E:\Shares\Home$為共享,共享名稱home$
預設共享權限是everyoneFull Control,修改為下面設定
共享目錄NTFS權限修改為下圖所示,請特別注意AuthenticationUsers權限
到AD使用者和電腦管理-遠端桌面服務設置
系統會自動建立目錄並分配權限
UserHome目錄Quota
設置整個Home目錄磁盤限額,目前設定是500G
到FileServer Resource Manager建立500Gquotatemplate
把500Gquotatemplate應用到Home$共享,請注意這個限額是指e:\shares\home$裡面所有文件加起來不能超過500G
啟用E盤限額
點擊上頁圖中的QuotaEntries,就能看到所有使用者目前占用的空間,選中使用者點鼠標右鍵可設置單個用戶的限額(用戶使用過才能出現在List裡面)
總結一下Home目錄磁盤
Home目錄建立JNS1102的E盤,存取路徑是\\jns1102.inc.iac\home$\%UserName%
整個Home目錄設定為最多可保存500G
用戶登錄後看到的是自動MAP的H盤
每個用戶H盤設定為10G(假設用戶只對H盤有寫入權限,因為10G實際是指用戶寫入JNS1102整個E盤的限制)
RDSH組策略
新建一個OU,把兩台RDSHServer加進來
到群組原則管理器,新建2012VDI的Policy並應用到這個OU,把其他policy刪掉
目前原則設定:禁用磁碟重導向,允許音視頻重導向,隱藏Client端看到存取RDSH服務器的A/B/C/D盤
隱藏本地磁碟應用了群組原則Loopback
預設情況下,電腦在啟動時會去取對該電腦生效的GPO中的Computerconfiguration,用戶在logon時會去取對該用戶生效的GPO中的Userconfiguration。如果在某個GPO上設置了loopback,則當該GPO運用到電腦時,在這台電腦上logon的使用者就會取對該電腦生效的GPO的Userconfiguration,而不會取對該用戶生效的GPO中的Userconfiguration。同時loopback分為replace和merge兩種模式,replace是用電腦GPO的Userconfiguration完全替換用戶的GPO的Userconfiguration, merge模式是將電腦GPO的Userconfiguration和用戶GPO的Userconfiguration融合,如果有矛盾就以電腦GPO的Userconfiguration為准。
群組原則Loopback設定步驟
1. 新建一個OU--RDSH
2. 將終端伺服器(JNS5213/14)放在這個OU中
3.新建一個GPO,並將這個GPO應用到新建的OU上
a.設置該GPO中的Userconfiguration中的資料夾重定向
b.設置該GPO中的Computerconfiguration中的loopback:將ComputerConfiguration->AdministrativeTemplate->System->Group Policy->User Group Policy loopback processing mode的值設為Enable,並且設定為Merge模式
目前原則設定:禁用磁碟重導向,允許音視頻重導向,隱藏Client端看到存取RDSH服務器的A/B/C/D盤
隱藏本地磁碟應用了群組原則Loopback
預設情況下,電腦在啟動時會去取對該電腦生效的GPO中的Computerconfiguration,用戶在logon時會去取對該用戶生效的GPO中的Userconfiguration。如果在某個GPO上設置了loopback,則當該GPO運用到電腦時,在這台電腦上logon的使用者就會取對該電腦生效的GPO的Userconfiguration,而不會取對該用戶生效的GPO中的Userconfiguration。同時loopback分為replace和merge兩種模式,replace是用電腦GPO的Userconfiguration完全替換用戶的GPO的Userconfiguration, merge模式是將電腦GPO的Userconfiguration和用戶GPO的Userconfiguration融合,如果有矛盾就以電腦GPO的Userconfiguration為准。
群組原則Loopback設定步驟
1. 新建一個OU--RDSH
2. 將終端伺服器(JNS5213/14)放在這個OU中
3.新建一個GPO,並將這個GPO應用到新建的OU上
a.設置該GPO中的Userconfiguration中的資料夾重定向
b.設置該GPO中的Computerconfiguration中的loopback:將ComputerConfiguration->AdministrativeTemplate->System->Group Policy->User Group Policy loopback processing mode的值設為Enable,並且設定為Merge模式
2. 將終端伺服器(JNS5213/14)放在這個OU中
3.新建一個GPO,並將這個GPO應用到新建的OU上
a.設置該GPO中的Userconfiguration中的資料夾重定向
b.設置該GPO中的Computerconfiguration中的loopback:將ComputerConfiguration->AdministrativeTemplate->System->Group Policy->User Group Policy loopback processing mode的值設為Enable,並且設定為Merge模式
User登陸桌面設置
User預設登陸進來看到的桌面會和下面一樣,看到很多服器器管理程序,雖然用戶打開時會要求認證,但還是把這些磁貼去掉才好
解決方法Step1:先用一個測試帳戶正常登陸,然後個性化成下面桌面(把管理員相關程序圖標都去掉,只保留常用系統和應用程序圖標)
解決方法Step2:
用戶定制桌面是一個二進制文件appsfolder.itemdata-ms,保存在%USERPROFILE%\appdata\local\microsoft\windows\
把這個文件拷貝到兩台RDSH服務器的下面路徑:C:\Users\Default\appdata\local\microsoft\windows\appsfolder.itemdata-ms
解決方法Step3:把這個文件設制為只讀C:\Users\Default\appdata\local\microsoft\windows\appsfolder.itemdata-ms
解決方法Step4:在群組原則裡面新建一個GPO,作用是把預設設定檔COPY過來後取消只讀屬性,這樣可以再定制
群組原則GPO詳細
動作:更新
位置: Software\Microsoft\Windows\CurrentVersion\Run
鍵值: c:\windows\system32\attrib.exe%USERPROFILE%\appdata\local\microsoft\windows\appsfolder.itemdata-ms-R
PXE設定
安裝TFTPServer
目前使用的是一台centos6的虛擬機10.170.252.146
將編譯好的thinstation PXE boot image上傳到TFTP根目錄
TFTP上傳使用WinSCP工具
TFTP目前未設定只下載權限(後面版本穩定後再設定,否則更新不方便)
兩台DHCPServer也安裝了TFTPServer做為備份,如果252.146掛了,到DHCP改066設定
DHCP設定,到每個DHCP設定066/067兩項
067:TFTP Server IP
067:pxelinux.0
DHCP目前有兩台:JNS1801/JNS1803,這兩台已設定Failover,在一台做設定就可以
User申請使用須設定步驟
把申請人加入AD群組:2012VDIGroup
設定Home目錄
用戶使用目錄後設定磁盤限額為10G
設定申請人服務器郵件限制為500M
根據申請人使用電腦的網段,設定DHCP066/067
用戶使用前可以在windows裡面連接\\jns1102.inc.iac\home$\%UseName%,把需要的文件COPY進去
用戶登錄後設定outlook/lync/TMGclient
客户端设置
BIOS設定畫面:LAN啟動要Enable,最好把LAN啟動放在首位
vLAN啟動如果沒有放在首位,還可以按F9/F12選擇從LAN啟動
thinstation 客户端启动效果
PXE啟動downloadboot image到內存,然後載入thinstation
thinstation載入中,啟動背景圖可以自己定制,請耐心等待進入登錄畫面
thinstation載入完成,默認是直接進入遠端桌面登錄畫面,這時輸入你的用戶名和密碼(將incxxxxxx改為自己的帳號,再輸密碼,回車)