VMware OS最適化ツールが正式にサポートされた?!

Horizon の仮想デスクトップの最適化を行うツールとして、VMware OS最適化ツールというものがあります。

 

VMware OS Optimization Tool | VMware Flings

 

このツールを実行することで、VMwareおすすめの設定を入れてくれたり、不要なサービスを止めてくれるなどとても便利なツールなのですが、1つ問題がありました。

 

I have read and agree to the Technical Preview License I also understand that Flings are experimental and should not be run on production systems.

テクニカルプレビューライセンス を読み、同意し ます。また 、Flingsは実験的なものであり、実稼働システムで実行するべきではないこと も 理解しています。

 

テクニカルプレビューということなのです。

本番環境で使う場合は自己責任でお願いしますというスタンスでした。。

 

様々な推奨設定を一括で行ってくれる素晴らしいツールですが、設定項目が多すぎて何を設定しているのか把握できないという弱点があります。

 

上記の通り、自己責任でと言われてしまうと、設定した内容が把握できないものを使うのは気が引けるということで、私はこのツールをあまり使ってこなかったのです。

 

 

そんな中、最新のVMware OS最適化ツールは、CUSTOMER CONNECT(MyVMware)からダウンロードできるようになっていました。

https://customerconnect.vmware.com/en/downloads/info/slug/desktop_end_user_computing/windows_os_optimization_tool_for_vmware_horizon/1_0#open_source

 

ドキュメントもtechzoneに公開されていました。

https://techzone.vmware.com/resource/windows-os-optimization-tool-vmware-horizon-guide#windows-os-optimization-tool-for-horizon-features

 

新しめのOS(Windows 10、Windows 11、Windows Server 2019、Windows Server 2022)で利用できるようですね。

 

1.0リリースということで、しっかりサポートもしていただけるということでしょうか。

個人的に利用のハードルがぐっと下がったので、近いうちに使ってみたいなと思います。

 

今回はここまで。

 

Log4j脆弱性の話

最近ホットな話題で一つ。

2021年12月に公表されたLog4jの脆弱性について

 

Log4jでの脆弱性問題です。

社内でも一気に温度感が高まり、緊急会議が何度も開催されています。

 

VMware製品についての情報が以下のページに集約されていますので参照ください。

VMSA-2021-0028.9

 

日々更新が入っていますので、定期的に確認して最新の情報を確認するようにしましょう。

対処必要だったものが対処不要になったりと状況が大きく変わっている製品もありました。。

 

ここでは、Horizonの対応について取り上げたいと思います。

現時点では、修正パッチは保留中となっており、回避策(ワークアラウンド)が公開されているのみでした。

 

■Horizon Agent
リンククローンおよびインスタントクローンの場合、修正をベースイメージに実装し、
プールを再構成/再公開する必要があります。
①次のレジストリ値を編集します:
 HKLM\Software\VMware, Inc.\VMware VDM\Node Manager\JVM\JVMOptions
②単一のスペース文字の後に次のテキストを追加します:
 △-Dlog4j2.formatMsgNoLookups=true
レジストリエディタを終了し、マシンを再起動します。
※AgentはLinuxのものが対象のようです。12/14 23:00時点

 

■Connection Server ※△は半角スペースに置き換え
①次のレジストリ値を編集します:
 HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\MessageBusService\Params\JVMOptions
②単一のスペース文字の後に次のテキストを追加します:
 △-Dlog4j2.formatMsgNoLookups=true
③次のレジストリ値を編集します:
 HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\TomcatService\Params\JVMOptions
④単一のスペース文字の後に次のテキストを追加します:
 △-Dlog4j2.formatMsgNoLookups=true
⑤次のレジストリ値を編集します:
 HKLM\Software\VMware, Inc.\VMware VDM\plugins\wsnm\TunnelService\Params\JVMOptions
⑥単一のスペース文字の後に次のテキストを追加します:
 △-Dlog4j2.formatMsgNoLookups=true
レジストリエディタを終了し、Connection Serverサービスを再起動するか、マシンを再起動します。
※対象レジストリが少なくなったようです。12/14 23:00時点

 

上記は執筆時点での回避策ですのであしからず。

 

取り急ぎ今日はここまで。

移動ユーザプロファイルからFSLogixへ

今回は、Microsoft関連の話です。

 

といっても、Horizon VDIでも重要なユーザプロファイル管理に関する技術です。

 

ユーザプロファイル管理手法と言えば、移動ユーザプロファイルですよね。

私が対応してきた案件でも、Horizon リンククローンデスクトップと移動ユーザプロファイルおよびフォルダリダイレクトを組み合わせた構成で、多数導入を行っています。

 

移動ユーザー プロファイルの展開 | Microsoft Docs

 

VMwareからもPersona Managementという機能が提供されていましたが、すでに移動ユーザプロファイルを使っているケースが多かったりで、結局1回も使うことはありませんでした。。。

 

さて、話を移動ユーザプロファイルに戻しますが、多くの実績があるものの、課題もありました。最大にして唯一の欠点といっても過言ではないと思います。

 

それは、プロファイルデータが膨らむとユーザのログオン時間に影響が出てしまうという点です。

 

運用年数が進むにつれて、プロファイルデータは徐々に増えていきますし、近年ではOSの変更などでプロファイルのサイズが大きくなっていく傾向にあるように思います。

 

 

そんな中、登場したのが、本日の主役。

FSLogixです。

FSLogix の概要 - FSLogix | Microsoft Docs

 

FSLogixには以下の4つの機能が含まれていますが、ユーザプロファイル管理に関連するのは、①と②ですかね。

①Profile Container
②Office Container
③Application Masking
Java Version Control

 

それぞれ、以下のような機能であり、Horizonと組み合わせることで得られる効果をまとめてみます。

機能

機能概要

効果

Profile Container

ユーザプロファイルを任意のファイル共有にリダイレクト。プロファイルはVHD(X)ファイルとして配置され、ユーザサインイン時にマウント。

ログオン時間の短縮

Office Container

ユーザプロファイルのうちOfficeデータを含む一部分を任意のファイル共有にリダイレクト。OutlookOSTファイルで有効。

ログオン時間の短縮

Application Masking

アプリケーションやプリンタ等へのアクセス許可を行う

マスタイメージ管理の簡素化

Java Version Control

特定のURLやアプリケーション毎に使用するJavaバージョンを指定

マスタイメージ管理の簡素化

 

以下のライセンスをお持ちであれば利用可能です。

Microsoft 365 E3 / E5
Microsoft 365 A3 / A5 /学生使用特典
Microsoft 365 F1
Microsoft 365 Business
Windows 10エンタープライズE3 / E5
Windows 10 Education A3 / A5
ユーザーごとのWindows 10 VDA 
リモートデスクトップサービス(RDS)クライアントアクセスライセンス(CAL)
リモートデスクトップサービス(RDS)サブスクライバーアクセスライセンス(SAL)

 

移動ユーザプロファイルを利用していて、ログオン時間の長時間化に悩んでいる方、

VMware Horizonとしても今後主流になっていくようなので、ぜひチェックしてみてください。

 

 

 

【Horizon Cloud】Horizon Universal Consoleメッセージ(2021年11月)

コンソールにログインした際に表示されるメッセージです。

 

2021 年 11 月:

  • 既存のプロビジョニング済み VDI 仮想マシンの場合、管理者は必要に応じて(サポートされている代替仮想マシンの仕様に合わせて)仮想マシンのタイプを調整できるようになりました。
  • 管理者は、同じポッド内の割り当て間で個々の仮想マシンを移動できます。この機能は、要求によってテナントに対して有効になっています。
  • Horizon Cloud on Microsoft Azure の新規展開の場合、Universal Broker がデフォルトで有効になります。
  • Microsoft Azure 上の Horizon Cloud ポッドの Horizon Agent 更新では、エージェントが停止した場合に、不完全な、または失敗したエージェントの更新を修正できるようになりました。
  • 管理者は、サービス アラートと通知を受信するための管理者以外のメール アドレスを指定できるようになりました。
  • マルチポッド イメージ管理で、Microsoft Azure の Horizon Cloud ポッドのファームに複数セッションの Windows OS を使用できるようになりました。
  • Horizon on VMware Cloud on AWS では、管理者は 2 つ以上の VMware Cloud on AWS インスタンス間で App Volumes コンテンツ レプリケーションを構成できます。Horizon ユニバーサル ライセンスは必須です。この機能はベータ プレビューとして利用できます。
  • Horizon ユニバーサル ライセンスに VMware vCenter Server、vSAN、vSphere などの SDDC コンポーネントが含まれている場合は、Horizon Universal Console を使用してこれらのキーを取得できます。注:すべてのテナントの制御プレーンでこの機能を完全に有効にすることは保留中であり、近い将来完全に有効になります。その時点でこれらのリリース ノートは更新されます。
  • App Volumes は、Windows 10 のマルチセッション OS で Dynamic Environment Manager をサポートするようになりました。
  • アプリケーション パッケージは、そのアプリケーションの最後に割り当てられたユーザーが Windows 10 マルチセッション システムからログオフすると、自動的に接続解除されるようになりました。

 

UniversalBrokerはいくつかの案件で不具合を引いているので若干心配です。

機会があれば記事にしたいと思います。

Horizon 仮想デスクトップに接続に関するトラブル

よく遭遇するトラブルと原因についてまとめてみます。

 

・Horizon Clientがインストールできない

ウイルス対策ソフトが原因だったということがありました。

 Hostsファイルへの変更を制御するような仕組みがある場合が該当するようです。

 

・接続後、画面が真っ暗

⇒いわゆるブラックアウト、ブラックスクリーン現象ですが、これは様々な原因がありました。

 ①VMware ToolsでSVGAドライバを選択してしまった

 ②仮想マシンのVRAMが足りない

 ③戻りの通信がFW等でブロックされている(UDPが見落としがち)

 

 参考:VMware Knowledge Base

 

・画面の解像度やサイズが自動調節されない

仮想マシンのVRAM割り当てが少ないことが原因でした。

 

 

Horizon フルクローンプールの再構築がうまくいかない話

とあるお客様対応で遭遇したトラブルの話です。

 

Horizonのフルクローンデスクトッププールにて、再構築がカスタマイズのステータスのままになってしまうという事象が発生しました。(3回)

 

1回目は、Sysprepが失敗していたことが原因でした。

 

Sysprep失敗の原因はとあるアプリケーションのインストールを一般ユーザに対して行ってしまったことによるものでした。

 

こちらの記事ですね。

Windows 10 (バージョン 1511) における Sysprep 実行時の注意点 | Microsoft Docs

 

Sysprepのログから該当のユーザを確認し、ユーザプロファイルを削除することで、

Sysprepエラーが解消され、再構築が進むようになりました。

 

以下のようなログが記録されます。

Error SYSPRP Package XXX was installed for a user, but not provisioned for all users. This package will not function properly in the sysprep image.

 

2回目は、DHCPIPアドレスプールが枯渇していたことが原因でした。

3回目は、データストアの容量が枯渇していたことが原因でした。

あるあるでしたね。

 

ご参考まで。

 

Horizon AgentのHotPatch適用がうまくいかなかった話

Horizon AgentのHotPatch適用において以下のようなメッセージが表示されて、

適用が失敗してしまいました。

 

インストールを継続するには、次のアプリケーションを閉じる必要があります。

 

f:id:yk-infra:20220127224952p:plain

 

無視して進めてみると、、、

 

f:id:yk-infra:20220127225303p:plain

お、完了・・・してないですね。

 

上書きインストールで実施していたので、一度Horizon Agentをアンインストールして試してみましたが、結果は同じでした。

 

調査の結果、操作履歴を取得するソフトウェアが原因となっていたことが分かりました。

該当ソフトウェアのAgentをアンインストールしたところ、HotPatchの適用が成功しました。

 

操作履歴ソフトウェアのマニュアルには、Agentのインストール順序(Horizon Agent⇒操作履歴Agentの順にインストール)について書かれており、今回はHotPatch適用というイレギュラーケースでしたが、これに引っ掛かってしまったようです。

 

ご参考まで。