Pull to refresh
294.24
Rating
КРОК
IT-компания

Оптимизация Win 7 для VDI

КРОК corporate blog
Итак, коллеги, сегодня поговорим о подготовке виртуальной машины с ОС Windows 7 для дальнейшего клонирования в среде VDI. Не стоит рассматривать этот пост в качестве безусловного руководства к действию, это лишь рекомендации для администраторов, как максимально оптимизировать Windows 7 для эффективного использования аппаратных ресурсов серверов виртуализации. В качестве платформы виртуализации рассматривается гипервизор VMware ESX, как лидер в своей области.

Позволю себе небольшое вступление. Основываясь на собственном опыте, могу с уверенностью утверждать, что использование в качестве «золотого» образа перенесенную в виртуальную среду физическую машину приводит к совершенно не оптимальному использованию ресурсов. Связано это с процессом конвертирования Physical-to-Virtual. Для одного-двух пользователей (например, VIP) такой подход, безусловно, имеет право на сосуществования, но использования подобного конвертирования для создания образа виртуальной машины (ВМ) приведет лишь к дополнительной нагрузке на серверы виртуализации, о чем уже было сказано выше.

Итак, процесс подготовки ВМ начинается с создания этой самой ВМ. Уже на этом этапе можно несколько оптимизировать «золотую» ВМ. Первое – при создании сетевой карты указывайте VMXNet3. В рамках одной ВМ это экономит около 1-2% аппаратных ресурсов, однако при развертывании VDI даже на несколько сот пользователей экономия перестаёт быть чем-то эфемерным. В качестве жесткого диска идеальным решением будет использование SCSI диска на контроллере LSI Logic SAS. Желательно использовать «тонкие» диски (Thin Provisioning), хотя, если у Вас есть очень «толстая» СХД… То Вам можно только позавидовать!

Лучше всего будет сразу удалить Floppy-диск, а также LPT- и COM-порты.

Объем оперативной памяти лучше всего назначить 1-1,5 Гб для 32-битной ОС и 1,5-2 для 64-битной ОС. Безусловно, для сильно нагруженных ВМ можно выделять и большие объемы ОЗУ, но не стоит превышать значения 3 Гб для 32-битной и 4 Гб для 64-битной ОС.

В качестве оптического привода необходимо использовать подмонтированный к ВМ установочный диск с ОС Windows 7. Убедитесь, что привод будет включаться при включении ВМ (крыжик Connect at Power on в свойствах ВМ).
Далее устанавливаем собственно ОС Windows 7. Здесь всё отдадим на откуп администратора. Отмечу только, что возможны два варианта:

• стандартная полностью ручная установка (будет рассматриваться дальше);

• полуавтоматическая установка с помощью Microsoft Deployment Toolkit (оставим для будущих постов).

Итак, ОС установлена. Теперь настало время установить внутрь ВМ VMware Tools, ПО VDI (например, VMware View Agent или Quest vWorkspace Agent) и приступить к оптимизации. Рекомендую сразу отключать (перевести в состояние Disabled) следующие службы:

• BitLocker Drive Encryption Service;

• Block Level Backup Engine Service;

• Desktop Window Manager Session Manager;

• Disk Defragmenter;

• Diagnostic Policy Service;

• Home Group Listener;

• Home Group Provider;

• IP Helper (только в том случае, если не используется IPv6);

• Microsoft iSCSI Initiator Service;

• Microsoft Software Shadow Copy Provider;

• Security Socket Tunneling Protocol Service;

• Security Center;

• Superfetch (для ВМ, которые не привязаны к пользователям);

• Tablet PC Input Service;

• Themes (для VIP лучше не отключать – все «красивости» исчезнут  );

• UPnP Device Host;

• Volume Shadow Copy Service;

• Windows Backup;

• Windows Defender (если используется сторонне антивирусное ПО или в случае «одноразовых» ВМ, которые будут удаляться после выхода пользователя из ОС);

• Windows Error Reporting Service;

• Windows Firewall (можно так же отключать с помощью групповых политик Active Directory);

• Windows Media Center Receiver Service;

• Windows Media Center Scheduler Service;

• Windows Search;

• Windows Update;

• WLAN AutoConfig;

• WWAN AutoConfig;

• Offline Files;

• SSDP Discover.

Список, безусловно, можно дополнять или урезать, всё зависит от потребностей Вашей инфраструктуры.

Для отключения сервисов можно использовать следующую команду PowerShell:
Powershell Set-Service <наименование сервиса> -startuptype “disabled”

Ниже приведу несколько рекомендаций, связанных с настройкой «золотого» образа с помощью групповых политик.

Во-первых, идеальным решением будет использование выделенной OU для всех ВМ, блокирования наследия для этого OU (желательно, но не обязательно), а также включение loopback processing с тем, чтобы применялись единообразные политики, назначенные именно на OU с ВМ. Опять же уточню, что данные рекомендации относятся к обычным «смертным» тогда как для VIP, безусловно, необходим индивидуальный подход.

Итак, про политики:

Action Center Icon Removal (User Configuration > Administrative Templates > Start Menu and Taskbar) – Remove the Action Center Icon = Enabled.

Event Logs (Computer Configuration > Administrative Templates > Event Log Service > Specific Event Log) – Maximum log size = 1024 (для всех логов – Application log, Security log, System log).

Firewall (Computer Configuration > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Windows Firewall Properties) – Firewall State = Off.

Internet Explorer Settings (cache) (User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Advanced Page) – Empty Temporary Internet Files folder when browser is closed = Enabled.

Internet Explorer Settings (first run wizard) (Computer Configuration > Administrative Templates > Windows Components > Internet Explorer) – Prevent performance of First Run Customize = Enabled.

Recycle Bin (User Configuration > Administrative Templates > Windows Components > Windows Explorer) – Do not move deleted files to the recycle bin = Enabled.

Remote Desktop (Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections) – Enables users to connect remotely using Remote Desktop Services = Enabled.

Remote Desktop (Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security) – Require user authentication for remote connections by using Network Level Authentication – Enabled.

RSS Feeds (User Configuration > Administrative Templates > Windows Components > RSS Feeds) – Turn Off background sync for feeds and Web Slices = Enabled.

Screen Saver (User Configuration > Administrative Templates > Control Panel > Personalization) – выставляется в соответствии с политиками Компании.

System Restore (Computer Configuration > Administrative Templates > System > System Restore) – Turn Off System Restore = Enabled.

User Access Control (Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options):

o User Account Control: Behavior of the elevation promt for administrator in Admin Approval Mode = Elevate without promting;

o User Account Control: Detect application installations and promt for elevation = Disabled;

o User Account Control: Only elevate UIAccess applications that are installed in secure locations = Disabled;

o User Account Control: Run all administrators in Admin Approval Mode = Disabled.

Wallpaper (User configuration > Administrative Templates > Desktop > Desktop) – Desktop Wallpaper = “ “ (пробел необходимо использовать для рабочего стола без обоев, можно указать свой путь к стандартным обоям Компании).

Windows Defender (Computer Configurations > Administrative Templates > Windows Components > Windows Defender) – Turn off Windows Defender = Enabled (уже говорилось ранее об ограничениях отключения Windows Defender).

Windows Sideshow (Computer Configuration > Administrative Templates > Windows Components > Windows Sideshow) – Turn off Windows Sideshow = Enabled.

Windows Update (Computer Configuration > Administrative Templates > System > Internet Communication Management > Internet Communication Settings):

o Turn off Access to All Windows Update Features = Enabled;

o Turn off Windows Update Device Driver Searching = Enabled.

После того, как образ настроен, необходимо выполнить команду ipconfig /release для освобождения аренды IP-адреса на DHCP-сервере. Теперь ВМ можно выключать. Если планируется использовать linked clone, то сейчас самое время сделать «снимок» ВМ (snapshot).

Всё, «золотой» образ ВМ готов к использованию!

Коллеги, буду рад услышать и обсудить другие способы оптимизации Windows 7 для дальнейшего использования в среде VDI.
Tags:
Hubs:
Total votes 41: ↑28 and ↓13 +15
Views 19K
Comments Comments 12

Information

Founded
Location
Россия
Website
croc.ru
Employees
1,001–5,000 employees
Registered