Итак, коллеги, сегодня поговорим о подготовке виртуальной машины с ОС Windows 7 для дальнейшего клонирования в среде VDI. Не стоит рассматривать этот пост в качестве безусловного руководства к действию, это лишь рекомендации для администраторов, как максимально оптимизировать Windows 7 для эффективного использования аппаратных ресурсов серверов виртуализации. В качестве платформы виртуализации рассматривается гипервизор VMware ESX, как лидер в своей области.
Позволю себе небольшое вступление. Основываясь на собственном опыте, могу с уверенностью утверждать, что использование в качестве «золотого» образа перенесенную в виртуальную среду физическую машину приводит к совершенно не оптимальному использованию ресурсов. Связано это с процессом конвертирования Physical-to-Virtual. Для одного-двух пользователей (например, VIP) такой подход, безусловно, имеет право на сосуществования, но использования подобного конвертирования для создания образа виртуальной машины (ВМ) приведет лишь к дополнительной нагрузке на серверы виртуализации, о чем уже было сказано выше.
Итак, процесс подготовки ВМ начинается с создания этой самой ВМ. Уже на этом этапе можно несколько оптимизировать «золотую» ВМ. Первое – при создании сетевой карты указывайте VMXNet3. В рамках одной ВМ это экономит около 1-2% аппаратных ресурсов, однако при развертывании VDI даже на несколько сот пользователей экономия перестаёт быть чем-то эфемерным. В качестве жесткого диска идеальным решением будет использование SCSI диска на контроллере LSI Logic SAS. Желательно использовать «тонкие» диски (Thin Provisioning), хотя, если у Вас есть очень «толстая» СХД… То Вам можно только позавидовать!
Лучше всего будет сразу удалить Floppy-диск, а также LPT- и COM-порты.
Объем оперативной памяти лучше всего назначить 1-1,5 Гб для 32-битной ОС и 1,5-2 для 64-битной ОС. Безусловно, для сильно нагруженных ВМ можно выделять и большие объемы ОЗУ, но не стоит превышать значения 3 Гб для 32-битной и 4 Гб для 64-битной ОС.
В качестве оптического привода необходимо использовать подмонтированный к ВМ установочный диск с ОС Windows 7. Убедитесь, что привод будет включаться при включении ВМ (крыжик Connect at Power on в свойствах ВМ).
Далее устанавливаем собственно ОС Windows 7. Здесь всё отдадим на откуп администратора. Отмечу только, что возможны два варианта:
• стандартная полностью ручная установка (будет рассматриваться дальше);
• полуавтоматическая установка с помощью Microsoft Deployment Toolkit (оставим для будущих постов).
Итак, ОС установлена. Теперь настало время установить внутрь ВМ VMware Tools, ПО VDI (например, VMware View Agent или Quest vWorkspace Agent) и приступить к оптимизации. Рекомендую сразу отключать (перевести в состояние Disabled) следующие службы:
• BitLocker Drive Encryption Service;
• Block Level Backup Engine Service;
• Desktop Window Manager Session Manager;
• Disk Defragmenter;
• Diagnostic Policy Service;
• Home Group Listener;
• Home Group Provider;
• IP Helper (только в том случае, если не используется IPv6);
• Microsoft iSCSI Initiator Service;
• Microsoft Software Shadow Copy Provider;
• Security Socket Tunneling Protocol Service;
• Security Center;
• Superfetch (для ВМ, которые не привязаны к пользователям);
• Tablet PC Input Service;
• Themes (для VIP лучше не отключать – все «красивости» исчезнут );
• UPnP Device Host;
• Volume Shadow Copy Service;
• Windows Backup;
• Windows Defender (если используется сторонне антивирусное ПО или в случае «одноразовых» ВМ, которые будут удаляться после выхода пользователя из ОС);
• Windows Error Reporting Service;
• Windows Firewall (можно так же отключать с помощью групповых политик Active Directory);
• Windows Media Center Receiver Service;
• Windows Media Center Scheduler Service;
• Windows Search;
• Windows Update;
• WLAN AutoConfig;
• WWAN AutoConfig;
• Offline Files;
• SSDP Discover.
Список, безусловно, можно дополнять или урезать, всё зависит от потребностей Вашей инфраструктуры.
Для отключения сервисов можно использовать следующую команду PowerShell:
Powershell Set-Service <наименование сервиса> -startuptype “disabled”
Ниже приведу несколько рекомендаций, связанных с настройкой «золотого» образа с помощью групповых политик.
Во-первых, идеальным решением будет использование выделенной OU для всех ВМ, блокирования наследия для этого OU (желательно, но не обязательно), а также включение loopback processing с тем, чтобы применялись единообразные политики, назначенные именно на OU с ВМ. Опять же уточню, что данные рекомендации относятся к обычным «смертным» тогда как для VIP, безусловно, необходим индивидуальный подход.
Итак, про политики:
• Action Center Icon Removal (User Configuration > Administrative Templates > Start Menu and Taskbar) – Remove the Action Center Icon = Enabled.
• Event Logs (Computer Configuration > Administrative Templates > Event Log Service > Specific Event Log) – Maximum log size = 1024 (для всех логов – Application log, Security log, System log).
• Firewall (Computer Configuration > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall Properties) – Firewall State = Off.
• Internet Explorer Settings (cache) (User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page) – Empty Temporary Internet Files folder when browser is closed = Enabled.
• Internet Explorer Settings (first run wizard) (Computer Configuration > Administrative Templates > Windows Components > Internet Explorer) – Prevent performance of First Run Customize = Enabled.
• Recycle Bin (User Configuration > Administrative Templates > Windows Components > Windows Explorer) – Do not move deleted files to the recycle bin = Enabled.
• Remote Desktop (Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections) – Enables users to connect remotely using Remote Desktop Services = Enabled.
• Remote Desktop (Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security) – Require user authentication for remote connections by using Network Level Authentication – Enabled.
• RSS Feeds (User Configuration > Administrative Templates > Windows Components > RSS Feeds) – Turn Off background sync for feeds and Web Slices = Enabled.
• Screen Saver (User Configuration > Administrative Templates > Control Panel > Personalization) – выставляется в соответствии с политиками Компании.
• System Restore (Computer Configuration > Administrative Templates > System > System Restore) – Turn Off System Restore = Enabled.
• User Access Control (Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options):
o User Account Control: Behavior of the elevation promt for administrator in Admin Approval Mode = Elevate without promting;
o User Account Control: Detect application installations and promt for elevation = Disabled;
o User Account Control: Only elevate UIAccess applications that are installed in secure locations = Disabled;
o User Account Control: Run all administrators in Admin Approval Mode = Disabled.
• Wallpaper (User configuration > Administrative Templates > Desktop > Desktop) – Desktop Wallpaper = “ “ (пробел необходимо использовать для рабочего стола без обоев, можно указать свой путь к стандартным обоям Компании).
• Windows Defender (Computer Configurations > Administrative Templates > Windows Components > Windows Defender) – Turn off Windows Defender = Enabled (уже говорилось ранее об ограничениях отключения Windows Defender).
• Windows Sideshow (Computer Configuration > Administrative Templates > Windows Components > Windows Sideshow) – Turn off Windows Sideshow = Enabled.
• Windows Update (Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication Settings):
o Turn off Access to All Windows Update Features = Enabled;
o Turn off Windows Update Device Driver Searching = Enabled.
После того, как образ настроен, необходимо выполнить команду ipconfig /release для освобождения аренды IP-адреса на DHCP-сервере. Теперь ВМ можно выключать. Если планируется использовать linked clone, то сейчас самое время сделать «снимок» ВМ (snapshot).
Всё, «золотой» образ ВМ готов к использованию!
Коллеги, буду рад услышать и обсудить другие способы оптимизации Windows 7 для дальнейшего использования в среде VDI.
Позволю себе небольшое вступление. Основываясь на собственном опыте, могу с уверенностью утверждать, что использование в качестве «золотого» образа перенесенную в виртуальную среду физическую машину приводит к совершенно не оптимальному использованию ресурсов. Связано это с процессом конвертирования Physical-to-Virtual. Для одного-двух пользователей (например, VIP) такой подход, безусловно, имеет право на сосуществования, но использования подобного конвертирования для создания образа виртуальной машины (ВМ) приведет лишь к дополнительной нагрузке на серверы виртуализации, о чем уже было сказано выше.
Итак, процесс подготовки ВМ начинается с создания этой самой ВМ. Уже на этом этапе можно несколько оптимизировать «золотую» ВМ. Первое – при создании сетевой карты указывайте VMXNet3. В рамках одной ВМ это экономит около 1-2% аппаратных ресурсов, однако при развертывании VDI даже на несколько сот пользователей экономия перестаёт быть чем-то эфемерным. В качестве жесткого диска идеальным решением будет использование SCSI диска на контроллере LSI Logic SAS. Желательно использовать «тонкие» диски (Thin Provisioning), хотя, если у Вас есть очень «толстая» СХД… То Вам можно только позавидовать!
Лучше всего будет сразу удалить Floppy-диск, а также LPT- и COM-порты.
Объем оперативной памяти лучше всего назначить 1-1,5 Гб для 32-битной ОС и 1,5-2 для 64-битной ОС. Безусловно, для сильно нагруженных ВМ можно выделять и большие объемы ОЗУ, но не стоит превышать значения 3 Гб для 32-битной и 4 Гб для 64-битной ОС.
В качестве оптического привода необходимо использовать подмонтированный к ВМ установочный диск с ОС Windows 7. Убедитесь, что привод будет включаться при включении ВМ (крыжик Connect at Power on в свойствах ВМ).
Далее устанавливаем собственно ОС Windows 7. Здесь всё отдадим на откуп администратора. Отмечу только, что возможны два варианта:
• стандартная полностью ручная установка (будет рассматриваться дальше);
• полуавтоматическая установка с помощью Microsoft Deployment Toolkit (оставим для будущих постов).
Итак, ОС установлена. Теперь настало время установить внутрь ВМ VMware Tools, ПО VDI (например, VMware View Agent или Quest vWorkspace Agent) и приступить к оптимизации. Рекомендую сразу отключать (перевести в состояние Disabled) следующие службы:
• BitLocker Drive Encryption Service;
• Block Level Backup Engine Service;
• Desktop Window Manager Session Manager;
• Disk Defragmenter;
• Diagnostic Policy Service;
• Home Group Listener;
• Home Group Provider;
• IP Helper (только в том случае, если не используется IPv6);
• Microsoft iSCSI Initiator Service;
• Microsoft Software Shadow Copy Provider;
• Security Socket Tunneling Protocol Service;
• Security Center;
• Superfetch (для ВМ, которые не привязаны к пользователям);
• Tablet PC Input Service;
• Themes (для VIP лучше не отключать – все «красивости» исчезнут );
• UPnP Device Host;
• Volume Shadow Copy Service;
• Windows Backup;
• Windows Defender (если используется сторонне антивирусное ПО или в случае «одноразовых» ВМ, которые будут удаляться после выхода пользователя из ОС);
• Windows Error Reporting Service;
• Windows Firewall (можно так же отключать с помощью групповых политик Active Directory);
• Windows Media Center Receiver Service;
• Windows Media Center Scheduler Service;
• Windows Search;
• Windows Update;
• WLAN AutoConfig;
• WWAN AutoConfig;
• Offline Files;
• SSDP Discover.
Список, безусловно, можно дополнять или урезать, всё зависит от потребностей Вашей инфраструктуры.
Для отключения сервисов можно использовать следующую команду PowerShell:
Powershell Set-Service <наименование сервиса> -startuptype “disabled”
Ниже приведу несколько рекомендаций, связанных с настройкой «золотого» образа с помощью групповых политик.
Во-первых, идеальным решением будет использование выделенной OU для всех ВМ, блокирования наследия для этого OU (желательно, но не обязательно), а также включение loopback processing с тем, чтобы применялись единообразные политики, назначенные именно на OU с ВМ. Опять же уточню, что данные рекомендации относятся к обычным «смертным» тогда как для VIP, безусловно, необходим индивидуальный подход.
Итак, про политики:
• Action Center Icon Removal (User Configuration > Administrative Templates > Start Menu and Taskbar) – Remove the Action Center Icon = Enabled.
• Event Logs (Computer Configuration > Administrative Templates > Event Log Service > Specific Event Log) – Maximum log size = 1024 (для всех логов – Application log, Security log, System log).
• Firewall (Computer Configuration > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall Properties) – Firewall State = Off.
• Internet Explorer Settings (cache) (User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page) – Empty Temporary Internet Files folder when browser is closed = Enabled.
• Internet Explorer Settings (first run wizard) (Computer Configuration > Administrative Templates > Windows Components > Internet Explorer) – Prevent performance of First Run Customize = Enabled.
• Recycle Bin (User Configuration > Administrative Templates > Windows Components > Windows Explorer) – Do not move deleted files to the recycle bin = Enabled.
• Remote Desktop (Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections) – Enables users to connect remotely using Remote Desktop Services = Enabled.
• Remote Desktop (Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security) – Require user authentication for remote connections by using Network Level Authentication – Enabled.
• RSS Feeds (User Configuration > Administrative Templates > Windows Components > RSS Feeds) – Turn Off background sync for feeds and Web Slices = Enabled.
• Screen Saver (User Configuration > Administrative Templates > Control Panel > Personalization) – выставляется в соответствии с политиками Компании.
• System Restore (Computer Configuration > Administrative Templates > System > System Restore) – Turn Off System Restore = Enabled.
• User Access Control (Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options):
o User Account Control: Behavior of the elevation promt for administrator in Admin Approval Mode = Elevate without promting;
o User Account Control: Detect application installations and promt for elevation = Disabled;
o User Account Control: Only elevate UIAccess applications that are installed in secure locations = Disabled;
o User Account Control: Run all administrators in Admin Approval Mode = Disabled.
• Wallpaper (User configuration > Administrative Templates > Desktop > Desktop) – Desktop Wallpaper = “ “ (пробел необходимо использовать для рабочего стола без обоев, можно указать свой путь к стандартным обоям Компании).
• Windows Defender (Computer Configurations > Administrative Templates > Windows Components > Windows Defender) – Turn off Windows Defender = Enabled (уже говорилось ранее об ограничениях отключения Windows Defender).
• Windows Sideshow (Computer Configuration > Administrative Templates > Windows Components > Windows Sideshow) – Turn off Windows Sideshow = Enabled.
• Windows Update (Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication Settings):
o Turn off Access to All Windows Update Features = Enabled;
o Turn off Windows Update Device Driver Searching = Enabled.
После того, как образ настроен, необходимо выполнить команду ipconfig /release для освобождения аренды IP-адреса на DHCP-сервере. Теперь ВМ можно выключать. Если планируется использовать linked clone, то сейчас самое время сделать «снимок» ВМ (snapshot).
Всё, «золотой» образ ВМ готов к использованию!
Коллеги, буду рад услышать и обсудить другие способы оптимизации Windows 7 для дальнейшего использования в среде VDI.
