В обеих версиях Microsoft Windows 10 и 11 безопасность на основе виртуализации (Virtualization Based Security, VBS) включена по умолчанию, и эта функция использует платформу Hyper-V, которая реализует технологию вложенной виртуализации (Nested Virtualization). Недавно Вильям Лам написал о том, что в связи с этим платформа VMware Workstation может выдавать ошибку.
Если вы попытаетесь запустить вложенную виртуальную машину с гипервизором ESXi в рамках Workstation под Windows, вы, скорее всего, увидите одно из следующих сообщений об ошибке в зависимости от производителя процессора:
Virtualized Intel VT-x/EPT is not supported on this platform
Virtualized AMD-V/RVI is not supported on this platform
Выглядит это так:
В то же время VMware Workstation была улучшена для совместной работы с Hyper-V благодаря новому режиму Host VBS Mode, представленному в VMware Workstation версии 17.x:
Workstation Pro uses a set of newly introduced Windows 10 features (Windows Hypervisor Platform) that permits the use of VT/AMD-V features, which enables Workstation Pro and Hyper-V to coexist. And because VBS is built on Hyper-V, Windows hosts with VBS enabled can now power on VM in Workstation Pro successfully
В документации VMware Workstation упоминаются несколько ограничений данной возможности. Тем не менее, если вам необходимо запустить вложенный ESXi под VMware Workstation, вам просто нужно отключить VBS в Windows, при условии, что у вас есть права администратора на вашем компьютере.
Шаг 1. Перейдите в раздел «Безопасность устройства» и в разделе «Основная изоляция» (Core isolation) отключите параметр «Целостность памяти» (Memory integrity), как показано на скриншоте ниже.
Шаг 2. Перезагрузите компьютер, чтобы изменения вступили в силу.
Шаг 3. Чтобы убедиться, что VBS действительно отключен, откройте Microsoft System Information (Системную информацию) и найдите запись «Безопасность на основе виртуализации» (Virtualization-based security). Убедитесь, что там указано «Не включено» (Not enabled). На устройствах, управляемых корпоративными системами, эта настройка может автоматически включаться снова. Таким образом, это поможет подтвердить, включена ли настройка или отключена.
Шаг 4. Как видно на скриншоте ниже, Вильяму удалось успешно запустить вложенный ESXi 6.0 Update 3 на последней версии VMware Workstation 17.6.2 под управлением Windows 11 22H2.
Для тех из вас, кто пропустил релиз платформы Windows Server 2025, который состоялся 1 ноября этого года, мы сделали список новых возможностей гипервизора Hyper-V, который постепенно подтягивается к Enterprise-функционалу, но все еще остается нишевым решением. В новой ОС Hyper-V получил ряд значительных улучшений, направленных на повышение производительности, масштабируемости и гибкости виртуализации.
Итак, что нового в платформе виртуализации Hyper-V появилось с релизом Windows Server 2025:
Поддержка разделения GPU (GPU Partitioning) - теперь можно эффективно распределять вычислительные ресурсы графических процессоров между виртуальными машинами, что позволяет выполнять ресурсоемкие задачи, такие как искусственный интеллект и обработка больших данных, без необходимости выделения отдельного GPU для каждой машины. Также поддерживаются пулы GPU, позволяющие обеспечить высокую доступность виртуальных машин (HA) с использованием дискретного назначения устройств (Discrete Device Assignment, DDA) между хостами.
Живая миграция виртуальных машин с активными GPU (Live Migration) - добавлена возможность переноса виртуальных машин с задействованными GPU без прерывания их работы, что минимизирует простои при обслуживании серверов.
Увеличение максимальных ресурсов для виртуальных машин - теперь одна виртуальная машина может использовать до 240 ТБ оперативной памяти и до 2048 виртуальных процессоров, что значительно расширяет возможности для работы с большими вычислительными нагрузками.
Адаптивное управление сетевым трафиком (Adaptive Traffic Control, ATC) - введена система, которая динамически управляет трафиком между виртуальными машинами, снижая задержки и повышая пропускную способность сети.
Улучшенная поддержка виртуальных машин второго поколения (Gen 2) - в мастере создания новых виртуальных машин в Hyper-V Manager теперь по умолчанию выбирается поколение 2, что обеспечивает более высокую производительность и безопасность. Образы Azure Marketplace также работают на базе машин нового поколения.
Dynamic Processor Compatibility – позволяет использовать процессоры разных поколений и получать лучший набор функций, который поддерживается всеми из них.
Кластеры на основе сертификатов – позволяют создавать "Workgroup Clusters", которые не зависят от Active Directory (AD).
Повышенная надежность и производительность обновлений с учетом работающих в производственной среде кластеров (Cluster-aware updating).
Поддержка растянутых кластеров S2D (Storage Spaces Direct stretched cluster).
Функция Network ATC упрощает настройку сети, позволяя задавать назначение (хранение, сеть, вычисления), а Network HUD имеет функции стабилизации: может изолировать сетевой адаптер при обнаружении нестабильности или физических ошибок из-за совместного использования PCI-ресурсов.
Возможность SND multi-site обеспечивает подключение уровня L2 или L3 между физическими локациями для виртуализированных рабочих нагрузок и Kubernetes (гибридный AKS). Производительность шлюза SDN улучшена на 20-50%.
Улучшения поддержки хранилищ NVMe, с полностью переписанным слоем хранения, который обеспечивает на 90% больше IOPS на NVMe SSD. Помимо полностью переписанного хранилища, наконец, появился встроенный инициатор NVMe-oF TCP.
Улучшения Virtualization-based security (VBS) для помощи приложениям в защите их секретов за счет устранения необходимости доверять администраторам и повышения устойчивости к злонамеренным атакам.
Горячее обновление запущенного сервера (Hotpatching, требуется управление через Azure Arc) с практически мгновенным применением обновлений и без перезагрузки для физических, виртуальных и облачных серверов Windows.
Оптимизация выбора сети для живой миграции - улучшена логика определения оптимальной сети между узлами для живой миграции виртуальных машин, что ускоряет процесс и повышает его надежность.
Поддержка ARM64: Windows Server 2025 стал первой серверной операционной системой Windows с поддержкой архитектуры ARM64, расширяя возможности Hyper-V на новых аппаратных платформах.
Windows Server 2025 поддерживает множество вариантов хранения данных в корпоративной среде для таких сценариев, как запуск виртуальных машин с использованием Hyper-V. К ним относятся:
Автономный сервер с локальным хранилищем, а также NAS или SAN
Гиперконвергентная инфраструктура
Масштабируемое хранилище (scale-out storage)
Функции дедупликации и сжатия, которыми можно управлять с помощью Windows Admin Center или PowerShell. Microsoft отмечает более чем 60% сокращение объема хранения при виртуализации и резервном копировании с использованием дедупликации и сжатия. Эта технология также поддерживает работу с кластерами. Администраторы могут выбрать использование только дедупликации, только сжатия или их совместное использование, которое является конфигурацией по умолчанию. Также доступны два отдельных алгоритма сжатия, которые позволяют регулировать степень агрессивности задач сжатия.
Тонкое развертывание хранилищ (Thin Provisioning) позволяет гораздо более эффективно настраивать хранилище. Эта технология позволяет администраторам задавать размеры томов и потенциально перераспределять пространство, чтобы удовлетворять определённые требования конфигурации. Емкость может быть увеличена на лету, чтобы соответствовать изменяющимся потребностям. Благодаря более быстрому флэш-хранилищу и NVMe, тонкое развертывание теперь рекомендуется для настройки хранилища. Это позволяет выделить общее пространство, но использовать только фактически записанное место на диске.
В Windows Server 2025 теперь есть настраиваемые параметры восстановления и ресинхронизации (repair and resynchronization settings). Теперь администраторы могут точно настроить процесс восстановления, что позволяет достичь баланса между поддержанием производительности виртуальных машин и поддержанием целостности данных. Основные моменты:
Процессы восстановления и ресинхронизации могут повлиять на виртуальные машины с ограниченными ресурсами.
Используя настраиваемые параметры, администраторы могут регулировать скорость через Windows Admin Center или PowerShell.
Администраторы могут оптимизировать процесс либо для производительности виртуальных машин, либо для операции восстановления/ресинхронизации.
Windows 11 предъявляет строгие требования к аппаратному обеспечению, включая наличие устройства Trusted Platform Module (TPM) версии 2.0. Для запуска Windows 11 в виртуальной среде VMware vSphere необходимо использовать виртуальный TPM-модуль (vTPM).
В целом, установка Windows 11 ничем не отличается от установки других ОС в VMware vSphere или Workstation:
Настройка vSphere для поддержки Windows 11
Для добавления vTPM в виртуальные машины требуется настройка провайдера ключей (Key Provider). Если вы видите предупреждение, приведенное ниже, это означает, что провайдер ключей не настроен:
Microsoft Windows 11 (64-bit) requires a Virtual TPM device, which cannot be added to this virtual machine because the Sphere environment is not configured with a key provider.
На платформе vSphere в качестве провайдера ключей может быть встроенный Native Key Provider или сторонний провайдер ключей. Native Key Provider поддерживается, начиная с версии vSphere 7 Update 2. Более подробная информация о его настройке приведена тут.
Основные шаги:
1. Настройте Native Key Provider через vSphere Client, если необходимо.
2. Шифрование файлов ВМ: файлы домашней директории ВМ (память, swap, NVRAM) будут зашифрованы автоматически при использовании vTPM. Полное шифрование диска не требуется.
3. Подключение vTPM: добавьте виртуальный TPM через мастер создания ВМ (если он отсутствует) или обновите существующую ВМ.
Установка Windows 11 в виртуальной машине
Установка на vSphere 8:
1. Создайте новую виртуальную машину с совместимостью ESXi 8.0 и выше (hardware version 20).
2. Выберите Microsoft Windows 11 (64-bit) в качестве версии ОС.
3. Если отображается ошибка о необходимости настройки Key Provider, выполните настройку согласно рекомендациям выше.
4. Завершите мастер создания ВМ и установите Windows 11 как обычно.
Установка на vSphere 7:
1. Создайте новую виртуальную машину с совместимостью ESXi 6.7 U2 и выше (hardware version 15).
2. Выберите Microsoft Windows 10 (64-bit) в качестве версии ОС (Windows 11 в списке отсутствует).
3. Вручную добавьте vTPM в разделе Customize Hardware.
4. В разделе VM Options установите параметры Encrypted vMotion и Encrypted FT в значение Required (это временная мера для поддержки Windows 11).
5. Завершите мастер создания ВМ.
Помните, что для виртуальных дисков рекомендуется использовать контроллер VMware Paravirtual SCSI (PVSCSI) в целях оптимизации производительности.
Клонирование и шаблоны виртуальных машин с vTPM
Клонирование ВМ
Если вы удалите или замените устройство vTPM на виртуальной машине с Windows 11, используя функции, такие как Windows BitLocker или Windows Hello, эти функции перестанут работать, и вы можете потерять доступ к операционной системе Windows или данным, если у вас нет соответствующих вариантов восстановления.
При клонировании ВМ с vTPM с помощью vSphere Client устройство и его секреты копируются. Для соблюдения лучших практик используйте новую функцию TPM Provision Policy в vSphere 8, чтобы автоматически заменять vTPM при клонировании.
Политика TPM Provision Policy появилась в последней мажорной версии платформы - vSphere 8. Устройства vTPM могут автоматически заменяться во время операций клонирования или развёртывания. Это позволяет соблюдать лучшие практики, при которых каждая виртуальная машина содержит уникальное устройство TPM, и улучшает поддержку массового развёртывания Windows 11 в больших инсталляциях. Версия vSphere 8.0 также включает расширенную настройку vpxd.clone.tpmProvisionPolicy, которая задаёт поведение по умолчанию для клонирования, при котором устройства vTPM заменяются.
Шаблоны ВМ
1. На vSphere 8 при развёртывании из шаблона также можно настроить копирование или замену vTPM.
2. На vSphere 7 настройка vTPM выполняется вручную в процессе развёртывания из шаблона.
3. Для шаблонов в Content Library используйте формат VMTX. Формат OVF/OVA не поддерживает vTPM.
Миграция виртуальных машин Windows 11
1. Миграция ВМ с vTPM выполняется с использованием шифрования vMotion.
2. Для миграции между экземплярами vCenter требуется синхронизация Key Provider.
3. Настройте резервное копирование и восстановление Key Derivation Key (KDK) для Native Key Provider. Подробнее об этом тут:
Использование WinPE для создания шаблонов Windows 11
ВМ с vTPM не поддерживают формат OVF/OVA. Для создания шаблона можно использовать Windows Preinstallation Environment (WinPE):
1. Создайте ВМ без vTPM.
2. Сохраните её как шаблон в формате OVF/OVA.
3. После развёртывания добавьте уникальный vTPM для каждой ВМ.
Известные проблемы
1. Отсутствие опции Windows 11 при создании ВМ (KB 85665).
2. Ошибка добавления vTPM (KB 85974).
3. Проблемы с резервным копированием Native Key Provider через IP (KB 84068).
Сброс устройства TPM в Windows 11
Вы можете очистить ключи, связанные с устройством TPM, непосредственно изнутри Windows 11. Очистка TPM приведет к утрате всех созданных ключей, связанных с этим TPM, а также данных, защищённых этими ключами, таких как виртуальная смарт-карта или PIN-код для входа. При этом существующее устройство vTPM на виртуальной машине сохраняется. Убедитесь, что у вас есть резервная копия и метод восстановления любых данных, защищённых или зашифрованных с использованием TPM. Об этом написано у Microsoft вот тут.
Broadcom сообщила, что ОС Windows Server 2025 официально сертифицирована для работы на платформе VMware vSphere версий 7.0 U3, 8.0, 8.0 U1, 8.0 U2 и 8.0 U3. Эти версии прошли тестирование и валидацию, обеспечивая стабильную и высокопроизводительную платформу для запуска Windows Server 2025 в качестве гостевой операционной системы в виртуальных машинах. Для получения подробной информации о поддерживаемых версиях обратитесь к Broadcom Compatibility Guide.
Что нового?
Сертификация VMware vSphere в рамках программы Microsoft SVVP
VMware vSphere 7.0 U3, 8.0, 8.0 U1, 8.0 U2 и 8.0 U3 входят в число первых гипервизоров, сертифицированных в рамках программы Microsoft Windows Server Virtualization Validation Program (SVVP). Эта сертификация подтверждает официальную поддержку Microsoft и VMware для работы Windows Server 2025 в средах VMware vSphere. Подробнее ознакомиться с сертификацией можно на странице сертификации VMware vSphere SVVP.
Поддержка VMware Tools с первого дня для Windows Server 2025
Драйверы VMware PVSCSI и VMXNET3 включены в Windows Server 2025
Начиная с Windows Server 2022, а теперь и для Windows Server 2025, драйверы VMware Paravirtual SCSI (PVSCSI) и сетевого адаптера VMXNET3 предустановлены в ОС от Microsoft. Это упрощает процесс настройки и обеспечивает эффективное развертывание виртуальных машин Windows Server с высокопроизводительными виртуальными устройствами без необходимости ручной установки драйверов.
Новый плагин VMXNET3 KDNET для отладки сетевого ядра
В Windows Server 2025 включён плагин расширения VMXNET3 KDNET для отладки сетевого ядра. Это позволяет выполнять отладку напрямую в виртуальной среде, предоставляя разработчикам удобный и эффективный процесс отладки. Дополнительную информацию о настройке сетевой отладки ядра можно найти в документации Microsoft.
Установка Windows Server 2025 в VMware vSphere
Перед развертыванием виртуальных машин с Windows Server 2025 в VMware vSphere рекомендуется ознакомиться с Руководством по совместимости Broadcom, чтобы убедиться в совместимости вашего оборудования и продуктов VMware. Это руководство содержит важную информацию о поддерживаемых серверах, устройствах хранения, сетевых адаптерах и других компонентах.
Для устранения неисправностей и оптимизации развертывания виртуальных машин Windows Server 2025 на VMware vSphere ознакомьтесь с приведёнными ниже статьями базы знаний (KB). Эти статьи охватывают вопросы совместимости VMware Tools, а также решения известных проблем.
Наверняка вы слышали о недавнем обновлении программного обеспечения CrowdStrike для Microsoft Windows, которое вызвало беспрецедентный глобальный сбой по всему миру (а может даже вы были непосредственно им затронуты). Несколько дней назад ИТ-администраторы работали круглосуточно, чтобы восстановить работоспособность тысяч, если не десятков тысяч систем Windows.
Текущий рекомендуемый процесс восстановления от CrowdStrike определенно болезненный, так как он требует от пользователей перехода в безопасный режим Windows для удаления проблемного файла. Большинство организаций используют Microsoft Bitlocker, что добавляет дополнительный шаг к уже и так болезненному ручному процессу восстановления, так как теперь необходимо найти ключи восстановления перед тем, как войти в систему и применить исправление.
Вильям Лам написал об этой ситуации. В течение нескольких часов после новостей от CrowdStrike он уже увидел ряд запросов от клиентов и сотрудников на предмет наличия автоматизированных решений или скриптов, которые могли бы помочь в их восстановлении, так как требование к любой организации вручную восстанавливать системы неприемлемо из-за масштабов развертываний в большинстве предприятий. Ознакомившись с шагами по восстановлению и размышляя о том, как платформа vSphere может помочь пользователям автоматизировать то, что обычно является ручной задачей, у него возникло несколько идей, которые могут быть полезны.
Скрипты, предоставленные в этой статье, являются примерами. Пожалуйста, тестируйте и адаптируйте их в соответствии с вашей собственной средой, так как они не были протестированы официально, и их поведение может варьироваться в зависимости от среды. Используйте их на свой страх и риск.
Платформа vSphere обладает одной полезной возможностью, которая до сих пор не всем известна, позволяющей пользователям автоматизировать отправку нажатий клавиш в виртуальную машину (VM), что не требует наличия VMware Tools или даже запущенной гостевой операционной системы.
Чтобы продемонстрировать, как может выглядеть автоматизированное решение для устранения проблемы CrowdStrike, Вильям создал прототип PowerCLI-скрипта под названием crowdstrike-example-prototype-remediation-script.ps1, который зависит от функции Set-VMKeystrokes. В настройке автора работает Windows Server 2019 с включенным Bitlocker, и он "смоделировал" директорию и конфигурационный файл CrowdStrike, которые должны быть удалены в рамках процесса восстановления. Вместо загрузки в безопасный режим, что немного сложнее, автор решил просто загрузиться в установщик Windows Server 2019 и перейти в режим восстановления, что позволило ему применить тот же процесс восстановления.
Ниже представлено видео, демонстрирующее автоматизацию и шаги, происходящие между PowerCLI-скриптом и тем, что происходит в консоли виртуальной машины. Вручную никакие действия не выполнялись:
В зависимости от вашей среды и масштаба, вам может потребоваться настроить различные значения задержек, и это следует делать в тестовой или разработческой среде перед развертыванием поэтапно.
В качестве альтернативы, автор также рекомендует и немного другой подход. Один из клиентов создал кастомный WindowsPE ISO, который содержал скрипт для удаления проблемного файла CrowdStrike, и всё, что им нужно было сделать, это смонтировать ISO, изменить порядок загрузки с жесткого диска на CDROM, после чего ISO автоматически выполнил бы процесс восстановления, вместо использования безопасного режима, что является довольно умным решением.
В любом случае, вот пример фрагмента PowerCLI-кода, который реконфигурирует виртуальную машину (поддерживается, когда ВМ выключена) для монтирования нужного ISO из хранилища vSphere и обновляет порядок загрузки так, чтобы машина автоматически загружалась с ISO, а не с жесткого диска.
$vmName = "CrowdStrike-VM"
$isoPath = "[nfs-datastore-synology] ISO/en_windows_server_version_1903_x64_dvd_58ddff4b.iso"
$primaryDisk = "Hard disk 1"
$vm = Get-VM $vmName
$vmDevices = $vm.ExtensionData.Config.Hardware.Device
$cdromDevice = $vmDevices | where {$_.getType().name -eq "VirtualCdrom"}
$bootDevice = $vmDevices | where {$_.getType().name -eq "VirtualDisk" -and $_.DeviceInfo.Label -eq $primaryDisk}
# Configure Boot Order to boot from ISO and then Hard Disk
$cdromBootDevice = New-Object VMware.Vim.VirtualMachineBootOptionsBootableCdromDevice
$diskBootDevice = New-Object VMware.Vim.VirtualMachineBootOptionsBootableDiskDevice
$diskBootDevice.DeviceKey = $bootDevice.key
$bootOptions = New-Object VMware.Vim.VirtualMachineBootOptions
$bootOptions.bootOrder = @($cdromBootDevice,$diskBootDevice)
# Mount ISO from vSphere Datastore
$cdromBacking = New-Object VMware.Vim.VirtualCdromIsoBackingInfo
$cdromBacking.FileName = $isoPath
$deviceChange = New-Object VMware.Vim.VirtualDeviceConfigSpec
$deviceChange.operation = "edit"
$deviceChange.device = $cdromDevice
$deviceChange.device.Backing = $cdromBacking
$deviceChange.device.Connectable.StartConnected = $true
$deviceChange.device.Connectable.Connected = $true
$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.deviceChange = @($deviceChange)
$spec.bootOptions = $bootOptions
$task = $vm.ExtensionData.ReconfigVM_Task($spec)
$task1 = Get-Task -Id ("Task-$($task.value)")
$task1 | Wait-Task | Out-Null
Чтобы подтвердить, что изменения были успешно применены, вы можете использовать интерфейс vSphere или следующий фрагмент PowerCLI-кода:
Остается только запустить виртуальную машину, а затем, после завершения восстановления, можно отменить операцию, размонтировав ISO и удалив конфигурацию порядка загрузки, чтобы вернуть исходное поведение виртуальной машины.
Консоль Workspace ONE UEM включает различные способы развертывания приложений Win32. Рекомендуемыми методами являются механизм развертывания программного обеспечения (Windows Desktop Software Deployment) и оркестратор для последовательной установки. Метод Product Provisioning, хотя и поддерживается, считается устаревшим для настольных ПК Windows.
Установщики Win32 имеют разные требования в зависимости от типа установки, необходимой для программного обеспечения. Они могут требовать или не требовать административного доступа и могут изменять свое поведение в зависимости от контекста установки. Для эффективного развертывания важно понимать, как работает установщик. Также вы можете самостоятельно перепаковать приложение.
Workspace ONE может устанавливать приложения в системном контексте и в контексте пользователя. Он может устанавливать пользовательские приложения от имени обычного пользователя, если соответствующие права администратора выбраны в параметрах развертывания.
Данное руководство предназначено для ИТ-специалистов и администраторов Workspace ONE в существующих производственных средах. Также будет полезен опыт управления устройствами Windows.
На настольных ПК с Microsoft Windows установщик может запускаться в системном контексте или в контексте пользователя.
Контекст установки:
Device: Команда установки выполняется как System.
User: Команда установки выполняется как User, при необходимости позволяя отображать интерфейс пользователю.
Контекст установки может влиять на поведение установщика. Некоторые установщики могут потребовать ответа на вопрос, предназначена ли установка для всех пользователей или только для текущего пользователя, и в зависимости от ответа установка будет происходить в другом месте.
Если приложение установлено пользователем, но установщик размещает бинарные файлы и ярлыки в папке для всех пользователей/Program Files, то приложение будет доступно другим пользователям. Это важно учитывать в сценарии с несколькими пользователями.
Контекст System
Системный контекст — это контекст, в котором работает операционная система, обладающая полными правами на устройстве. Он не имеет информации о пользователях, не может отображать информацию пользователю в графическом интерфейсе и не имеет доступа к HKCU.
Команда установки унаследует системные права на устройстве, что позволит ей получить доступ к ресурсам с использованием учетной записи "NT AUTHORITY\SYSTEM". Любая попытка доступа к папке или ключу реестра будет оцениваться в соответствии с этой учетной записью и списком управления доступом (ACL), установленным на объекте.
Контекст User
В пользовательском контексте команда установки запускается под учетной записью пользователя, что позволяет отображать интерфейс пользователю и получать доступ к информации и файлам пользователя. Уровень доступа к операционной системе и файлам будет зависеть от прав доступа пользователя.
Если пользователь является обычным, и приложению требуются права, превышающие его права, а административные привилегии не выбраны, установка приложения завершится неудачей из-за отказа в доступе.
В зависимости от требований установщика может потребоваться понимание того, как UAC может повлиять на развертывание приложения.
Как UAC влияет на развертывание приложений
Контроль учетных записей (User Account Control, UAC) — это функция безопасности операционной системы Microsoft Windows. Она основана на принципе, что пользователь или устройство должны иметь возможность вносить определенные изменения в конфигурацию или файлы в операционной системе без дополнительных привилегий, если это не может потенциально повлиять на стабильность или безопасность ОС. В таких случаях требуются административные права, также известные как супер-токены (super tokens).
Супер-токен необходим для изменения защищенных папок, драйверов, системных настроек и прочего. Например, изменение времени требует административных привилегий, так как это может повлиять на системы безопасности.
Защищенные папки включают следующие:
\Program Files\ с подкаталогами
\Windows\system32\
\Program Files (x86)\ с подкаталогами для 64-битных версий Microsoft Windows
Оценка необходимости административных прав
Теперь, когда мы рассмотрели, как Windows реагирует в плане доступа, наш следующий шаг — проанализировать приложение, чтобы определить, будут ли необходимы права администратора.
Как правило, приложения устанавливаются в каталог "Program Files", так как это место по умолчанию. Однако многие приложения могут быть установлены в других местах. Это верно для приложений в пользовательском контексте, которые могут потребовать установки исключительно в области пользователя (т.е. в папке пользователя).
Для установок, связанных с изменением системных настроек или установкой драйверов, требуются права администратора для внесения изменений в важные папки и настройки, так как этого потребует UAC.
Важно четко понимать действия и местоположения установщика, чтобы определить, требуются ли административные права.
Ниже представлена блок-схема, показывающая, требуются ли административные права:
Поведение установки приложений Win32 с использованием ресурсов
Единственный случай, когда установка не работает, это если пользователь является обычным пользователем, а установщику требуются административные привилегии.
Поведение установки приложений Win32 с использованием Product Provisioning
Рекомендуется развертывать приложения Win32 через ресурсы (Resources). Однако, если вы пробовали развертывать приложение через ресурсы, и это вас не устроило, в качестве альтернативного метода вы можете завершить развертывание на своих устройствах с помощью Product Provisioning.
Если вы настраиваете приложения Win32 с использованием Product Provisioning, вы можете воспользоваться следующей таблицей, чтобы понять комбинации установки и запуска манифеста и контекста команды. Вы можете выбрать установку или запуск на системном уровне, уровне пользователя или уровне учетной записи администратора. В зависимости от выбранных параметров ваша установка может различаться.
Обратитесь к таблице, чтобы понять поведение установки приложений Win32 с использованием предоставления продуктов.
Перейдите в раздел Devices > Provisioning > Components > Files/Actions и выберите Add Files/Actions, перейдите на вкладку Manifest и установите Action(s) To Perform = Install/ Run.
Предложения для параметров Retry Count, Retry Interval, Install Timeout для ваших приложений Win32
Значения параметров "Retry Count", "Retry Interval" и "Install Timeout" для приложений Win32 влияют на время, которое система затрачивает на сообщение о неудачном процессе установки. Вы можете изменить значения по умолчанию, чтобы сократить время развертывания.
Значения по умолчанию для этих параметров:
Retry Count — 3 раза
Retry Interval — 5 минут
Install Timeout — 60 минут
работают в следующей последовательности для одного неудачного процесса установки:
Через 3 часа и 15 минут система однократно сообщает о неудачной установке приложения. Затем система устанавливает следующее приложение.
Настройка параметров в зависимости от приложения
Настройте значения, соответствующие приложению.
Пример быстрой установки
Браузерное приложение устанавливается на устройство за четыре минуты. Рассмотрите возможность установки следующих значений для этого приложения:
Retry Count — 2 раза
Retry Interval — 5 минут
Install Timeout — 5 минут
Система сообщает о сбое этого приложения в течение 20 минут. Затем она устанавливает следующее приложение.
Пример медленной установки
Крупное приложение для повышения производительности устанавливается на устройство за 30 минут. Рассмотрите следующие значения для этого приложения:
Retry Count — 3 раза
Retry Interval — 5 минут
Install Timeout — 35 минут
Система может сообщить о сбое этого приложения в течение 120 минут. Затем она устанавливает следующее приложение.
Предложения для параметра Device Restart для ваших приложений Win32
Значения для перезагрузки устройства для приложений Win32 позволяют пользователю отложить перезагрузку устройства и установить крайний срок, до которого пользователь может откладывать перезагрузку. Эти значения позволяют администраторам и конечным пользователям иметь больший контроль над перезагрузками, чтобы предотвратить потерю работы пользователем.
Администраторы могут выбрать принудительную перезагрузку ПК после установки приложения или позволить пользователю отложить перезагрузку на более удобное время.
Перезагрузка устройства помогает настроить следующие параметры:
Предупредить пользователя перед перезагрузкой устройства, чтобы он мог сохранить свои файлы и закрыть приложения.
Предупредить пользователя, когда требуется перезагрузка устройства.
Позволить пользователю отложить перезагрузку устройства и перезапустить его в удобное время.
Workspace ONE Intelligent Hub отображает уведомления о перезагрузке устройства на различных этапах. Уведомление об откладывании позволяет пользователю перезагрузить или отложить перезагрузку. Workspace ONE Intelligent Hub обновляет данные о перезагрузке для откладывания или перезагрузки и показывает это уведомление в соответствии с временем, выбранным пользователем.
Следующая таблица показывает уведомления, отображаемые на различных этапах:
Во время установки приложения
Уведомляет пользователя о необходимости сохранить файлы и закрыть приложение.
После установки приложения
Отображает первое уведомление и сообщает пользователю о перезагрузке системы.
За 48 часов до крайнего срока перезагрузки
Отображает второе уведомление и предупреждает пользователя о принудительной перезагрузке.
За 15 минут до крайнего срока перезагрузки
Отображает третье уведомление и предупреждает пользователя о принудительной перезагрузке.
За 5 минут до крайнего срока перезагрузки
Отображает системные подсказки, указывающие дату и время запланированной принудительной перезагрузки.
Летом этого года вышла новая версия решения для виртуализации и доставки настольных ПК и приложений VMware Horizon 8 (2306). Сегодня мы расскажем о новых функциях клиентах Horizon Clients, которые работают на разных платформах. О новой функциональности агентов Horizon Agents вы можете узнать в этой статье.
1. Новые возможности клиента Horizon Client for Windows
ОС Windows продолжает развиваться, идя в ногу с эволюцией потребительских потребностей и технологическими изменениями. Ниже приведены новые функции, которые улучшают клиентский опыт в Windows для клиента Horizon 2306:
Поддержка устройств ARM с режимом эмуляции: Windows теперь официально поддерживает устройства ARM, работающие в режиме эмуляции. Эта поддержка эксклюзивна для Windows 11, так как это оптимальная ОС для устройств ARM, повышающая их производительность и удобство использования.
Бесшовное сопряжение Bluetooth: с функциями улучшенной связности пользователи теперь могут сопрягать устройства Bluetooth даже после запуска виртуальной машины. Нет необходимости возвращаться к физическому устройству, устройства можно найти и сопрягать непосредственно в удаленном рабочем столе.
Видимые пароли через GPO. Horizon 2306 представляет новую политику группы для решения проблем со сложными требованиями к паролям. Это позволяет пользователям видеть свой пароль при наборе, что помогает пользователям со комплексными критериями пароля.
Аутентификация WebAuthN (FIDO2) для разрешенных приложений. В контексте FIDO2 в основном акцент делается на поддержку YubiKey. Пользователи перенаправляли YubiKey как USB-устройства для аутентификации в виртуальной машине. Однако перенаправление YubiKey таким образом ограничивает его доступность на конечном устройстве. Признавая необходимость более гладкого пользовательского опыта, особенно для тех, кто использует разнообразные приложения, теперь вызовы WebAuthN перенаправляются из виртуальной машины. WebAuthN используется широким кругом веб-сайтов и многими приложениями Windows. Хотя не все приложения поддерживаются, эта функция упрощает процесс для большинства из них, уменьшая необходимость полного перенаправления YubiKey через перенаправление USB.
2. Новые возможности клиента Horizon Client for Linux
Horizon 2306 предлагает новые улучшения для клиента Linux, обеспечивая большую гибкость и удобство для пользователя. Вот, что тут нового:
Интеграция пакета установки Deb с основными функциями RX. Релиз 2306 представляет опцию пакета установки Deb, которая облегчает управление Linux, особенно если вы используете инструмент управления, предназначенный для глубокого анализа.
Поддержка декодирования AOMedia Video 1 (AV1). Клиент Linux теперь поддерживает кодек AV1, улучшая возможности декодирования для ассоциированных типов файлов.
Ассоциация типов файлов. Функции зеркалирования доступны для пользователей Windows и Mac. Linux теперь позволяет сопоставлять типы файлов с удаленными приложениями. Это обеспечивает более плавный пользовательский опыт при удаленном доступе к различным типам файлов.
TrueSSO разблокировано для клиентов Linux. В средах, использующих TrueSSO, когда виртуальная машина переходит в режим сна, всплывающее окно спрашивает, требует ли виртуальная машина разблокировки сейчас, что запустит поток аутентификации TrueSSO.
Перенаправление диска в nested-режиме. Клиент Linux теперь поддерживает перенаправление диска во вложенном режиме и для Linux, и для Windows. В сценариях с двойным переходом, начиная с Linux или Windows и переходя к виртуальной машине Windows, пользователи могут пересылать свой диск на следующее назначение (то есть, скорее всего, другой интерфейс Windows).
3. Новые возможности клиента Horizon Client for Mac
Последний релиз этого клиента предоставляет функции для улучшения пользовательского опыта и оптимизации рабочих процессов для пользователей, использующих клиенты Mac в 2306. Вот краткий обзор нововведений:
Упрощенное создание снимков экрана в Teams. Теперь есть функция, которая упрощает процесс создания скриншотов в Teams.
Бесшовная интеграция с Zoom и Cisco. На базе того, что было сделано для Windows, пользователи Mac теперь могут размещать плагины Zoom или Webex на UAG. При первом подключении клиент Mac загрузит плагин и получит запрос на установку, который будет доступен впредь.
Изменение файла установки с .dmg на .pkg. Процесс установки для клиента Mac перешел от формата файла .dmg к .pkg. Это изменение вводит единый интерфейс для установки, отходя от предыдущего метода установки путем перетаскивания.
Расширенная информация о Wi-Fi с DEEM. Интегрируя модуль DEEM (управление цифровым опытом сотрудника), пользователи Mac теперь могут собирать данные о силе сигнала Wi-Fi. Эти данные интегрируются с функцией Intelligence, что является значительным шагом для пользователей, использующих Workspace ONE Intelligence для проверки телеметрии, и теперь есть возможность коррекции при необходимости.
Специфичные для производителя функции сканеров. Сканеры, подключенные к Mac, могут предлагать функции, которых нет в спецификациях TWAIN. Обновление 2306 позволяет виртуальной машине захватывать эти настройки и отображать их в интерфейсе сканера в виртуальной машине.
TrueSSO разблокировано для клиента Mac. Аналогично клиенту Windows, пользователи Mac теперь могут повторно активировать аутентификацию TrueSSO, когда виртуальная машина переходит в режим сна, обеспечивая непрерывный доступ и работу.
4. Новые возможности клиента Horizon Client for Chrome
В версии 2306 включены функции, которые улучшают взаимодействие конечного пользователя с использованием клиентов Chrome на виртуальном рабочем столе и улучшают подключение.
Поддержка следующего поколения Horizon Cloud. Horizon Cloud следующего поколения использует обновленный, современный поток аутентификации. В этом релизе все клиенты Horizon теперь полностью интегрированы и поддерживаются на этой платформе, что является значительным шагом вперед.
Предупреждение о плохом соединении. После появления предупреждения о плохом соединении для Windows эта функция была добавлена и для клиента Chrome, и для HTML Access. Теперь пользователи могут быстро получать уведомления о проблемах с подключением, что обеспечивает более плавную работу.
Разделение композитных USB-устройств для перенаправления. 2306 добавляет поддержку композитных USB-устройств. Это особенно полезно для многофункциональных устройств, таких как Nuance PowerMic или клавиатуры, оснащенной считывателем кредитных карт. Такие устройства, хотя и регистрируются как единое USB-устройство, имеют несколько функциональных компонентов. С обновлением до 2306 пользователи могут полностью использовать эти композитные устройства.
Улучшения производительности аудио-видео в реальном времени. Мы интегрировали улучшения производительности для аудио-видео взаимодействий в реальном времени. Используя кодек H.264, возможно сжатие как видео, так и аудио на конечном устройстве.
При попытке запустить такую ВМ она не включится, а в логе vmware.log в папке с ВМ вы увидите такие записи:
2023-02-15T05:34:31.379Z In(05) vcpu-0 - SECUREBOOT: Signature: 0 in db, 0 in dbx, 1 unrecognized, 0 unsupported alg.
2023-02-15T05:34:31.379Z In(05) vcpu-0 - Hash: 0 in db, 0 in dbx.
2023-02-15T05:34:31.379Z In(05) vcpu-0 - SECUREBOOT: Image DENIED.
Ситуация была исправлена со стороны VMware в патче обновлений vSphere 7 Update 3k (KB 90947), который предлагается установить всем пользователям, затронутых этой ситуацией.
Отметим, что с виртуальными машинами на vSphere 8 никаких неприятностей не произошло.
Скачать VMware vSphere 7 Update 3k можно по этой ссылке. Release Notes находятся тут.
Теперь вот от компании Microsoft пришло официальное заявление о поддержке ОС Windows в качестве гостевых систем на архитектуре ARM, на базе которой и построены маки с процессорами M1/M2 (поддержка заявлена для разных платформ виртуализации, в том числе Parallels Desktop).
Для поддержки Windows на ARM-архитектуре VMware сделала такие нововведения, как работа с механизмом Fast Encryption и новым Virtual Trusted Platform Module, а также переработанный виртуальный сетевой адаптер и драйверы других устройств, над которыми ведется постоянная работа.
Также VMware работает с консорциумом ARM, Inc. для сертификации своих продуктов, и VMware Fusion 13 уже включена в программу cертификации Arm System Ready. Эта программа позволяет обеспечивать совместимость оборудования на физическом и виртуальном уровне для различного программного обеспечения, работающего на компьютерах с процессормами на базе ARM-архитектуры. Официальный документ по сертификации доступен тут.
Таким образом, как частные пользователи, так и крупные корпорации уже сейчас могут начать использование виртуальных машин с ОС Windows на компьютерах Mac, будучи уверенными в официальной поддержке такого варианта использования.
В середине января этого года компания VMware выпустила обновленную версию своей основной платформы для виртуализации настольных ПК предприятий Horizon 8 2212 (первые две цифры обозначают год выпуска, вторые две - месяц). Среди новых функций этого решения появилась возможность Apps on Demand for published apps, которая имеет очень большое значение для крупных компаний, использующих инфраструктуру опубликованных приложений на базе ферм серверов RDSH и Citrix XenApp...
Давайте посмотрим, что нового в VMware Workstation 17 Pro и Player:
1. Поддержка ОС Windows 11
Теперь Windows 11 можно использовать как в качестве хостовой, так и в качестве гостевой ОС на системах x86_64 CPU. В этом случае платформу Workstation можно развернуть в ОС Windows и Linux. Для этого были добавлены функции Virtual Trusted Platform Module и Fast Encryption.
2. Работа с Virtual Trusted Platform Module и Fast Encryption
Чтобы обеспечить поддержку Windows 11, от физической системы или платформы виртуализации требуется поддержка механизма Trusted Platform Module. В этом релизе для работы Virtual TPM module (vTPM) были добавлены некоторые функции. В частности, vTPM имеет реализацию механизма Fast Encryption, который предполагает шифрование только критических частей виртуальных машин и их локальных хранилищ, что намного ускоряет производительность ВМ, практически не уменьшая уровень безопасности (включается это в меню VM Settings > Encryption). Второй момент - это автогенерация паролей для пользователя и использование локального keychain для хранения ключей шифрования, что освобождает пользователя от необходимости вводить пароль при каждой загрузке ВМ.
3. Autostart VMs
Это возможность настроить виртуальные машины, которые включаются сразу после того, как загружается хостовый компьютер.
4. Функции шифрования для Workstation Player
Чтобы реализовать vTPM, поддерживаемый в Windows 11, функции VM encryption были добавлены и в Workstation Player, чтобы он позволял создавать ВМ на платформе Windows 11.
5. Поддержка графики OpenGL 4.3
Версии Workstation for Windows и Linux при использовании с ВМ Linux с версией kernel 5.18 или более новой и Mesa 22.1.1+, а также ВМ с ОС Windows на борту, используют версию OpenGL 4.3 и OpenGL ES 3.10, что повышает качество графической подсистемы.
6. Поддержка новых гостевых систем
Список поддерживаемых гостевых ОС в VMware Workstation 17 пополнился следующими:
Windows 11
Windows Server 2022
Ubuntu 22.04, 20.04, 22.10
Debian 11.5, 12,
Fedora 37, 36,
RHEL 9
FreeBSD 12, 13
7. Поддержка драйверов WDDM
Теперь Workstation Pro поддерживает пакет графических драйверов WDDM (Windows Display Driver Model) версии 1.2 для виртуальных машин.
8. Обновление библиотек безопасности
В составе продуктов Workstation и Player в этом релизе используются следующие версии библиотек различных компонентов:
OpenSSL 1.1.1q
Python 3.10.4
Libgcrypt 1.10.0
zlib 1.2.12
Expat 2.4.9
Скачать VMware Workstation 17 Pro и Player можно по этой ссылке.
Таги: VMware, Workstation, Update, Windows, Player
Летом мы писали о том, что компания VMware пустила технологическое превью своей основной платформы виртуализации для macOS - VMware Fusion 22H2 Tech Preview (тогда же было доступно и технологическое превью Player для Mac).
Чтобы обеспечить поддержку Windows 11, от платформы виртуализации требуется поддержка механизма Trusted Platform Module. В этом релизе для работы Virtual TPM module (vTPM) были добавлены некоторые функции. В частности, vTPM имеет реализацию механизма Fast Encryption, который предполагает шифрование только критических частей виртуальных машин и их локальных хранилищ, что намного ускоряет производительность ВМ, практически не уменьшая уровень безопасности.
Устройство vTPM может быть добавлено к любой виртуальной машине, но у нее должно быть включено Full или Fast шифрование. Делается это в разделе VM Settings > Encryption, здесь мы видим возможность выбора механики шифрования:
Для Intel-based маков вы найдете привычные вам инструменты в Windows 11 с установленными VMware Tools, которые упрощают взаимодействие с гостевой системой, такие как Drag & Drop файлов, Copy & Paste операции в консоли, общие папки (shared folders) и проброс камеры и USB-устройств хоста.
Для ARM-based маков с процессорами M1 и M2 пока только первый раунд нововведений - это функции virtual graphics and networking, сертифицированные и подписанные драйверы Windows 11 (Windows Display Driver Model версии 1.2), а также поддержка разрешения 4К и больше.
Нужно понимать, что для запуска Windows 11 на Fusion on Apple Silicon вы должны использовать ARM-дистрибутив ОС Windows, x86/x64-версия при этом не поддерживается. Для запуска таких приложений в Windows для ARM есть встроенный эмулятор - в этом случае приложения будут запущены как user-level процесс.
Если говорить о поддержке ОС, то платформа Fusion 13 сейчас работает со следующими системами:
Microsoft Windows 11
Microsoft Windows Server 2022
RHEL 9
Debian 11.x
Ubuntu 22.04
2. Универсальный DMG пакет
Fusion 13 идет как один бинарный пакет, запакованный в DMG, который устанавливается и на Apple Silicon, и на Intel Mac, что позволяет вам на любом устростве скачивать только один дистрибутив.
3. Функции vTPM 2.0 + Fast Encryption
Чтобы обеспечить поддержку Windows 11, от платформы виртуализации требуется поддержка механизма Trusted Platform Module. В этом релизе для работы Virtual TPM module версии 2.0 (vTPM) были добавлены некоторые функции. В частности, vTPM 2.0 имеет реализацию механизма Fast Encryption, который предполагает шифрование только критических частей виртуальных машин и их локальных хранилищ, что намного ускоряет производительность ВМ, практически не уменьшая уровень безопасности.
Устройство vTPM может быть добавлено к любой виртуальной машине, но у нее должно быть включено Full или Fast шифрование. Делается это в разделе VM Settings > Encryption, здесь мы видим возможность выбора механики шифрования:
Пароль шифрования хранится в связке ключей Mac (Keychain), поэтому вам не потребуется вводить его при каждой загрузке виртуальной машины. Вы можете использовать автогенированный или собственный пароль.
4. Поддержка 3D Accelerated Graphics и библиотеки OpenGL 4.3
VMware поработала с комьюнити разных операционных систем и open-source проектов, таких как Mesa и open-vm-tools, чтобы обеспечить максимальную поддержку Linux на аппаратной платформе Apple Silicon. Постоянно выпускаются патчи для ядра, а также улучшения графического драйвера Mesa SVGA, чтобы надежно работало аппаратное 3D-ускорение на базе фреймворков OpenGL 4.3 + GLES 3.1 для виртуальных машин Linux с Mesa 22.1.1 и более поздних версий (для этого нужна версия ядра 5.19+).
Open-source драйверы устройств vmwgfx дают качественный пользовательский опыт пользователю и возможности корректного отображения различных разрешений в гостевой ОС.
Вот так работает игра Neverball в разрешении 4K на Apple Silicon с гостевой ОС Ubuntu 22.10, ускоренная движком Metal:
Также надо отметить также функцию Auto-Fit Guest Display, которая в составе Open-VM-Tools v12.0.5 позволяет выравнивать разрешение гостевой ОС, которое меняется, когда пользователь изменяет размер окна консоли. Это работает по аналогии с Debian Bookworm/Testing или Sid и Fedora 37/Rawhide. Также разрешение может быть жестко задано в меню View > Resize Virtual Machine.
На платформе Intel ОС Windows поддерживает графику DirectX 11 и Fusion продолжает поддержку устройств eGPU.
5. Поддержка VMware vSphere 8
Теперь помимо стандартных операций с хостами ESXi 8 в Fusion 13 также поддерживаются следующие:
Подключение к хостам ESXi 8 и vCenter Server 8
Аплоад и скачивание ВМ между ESXi и Fusion (только для Intel Mac)
Создание новой ВМ на удаленном сервере с локального десктопа
Скачать VMware Fusion 13 и Player 13 можно по этой ссылке.
Таги: VMware, Fusion, Update, Linux, Windows, macOS, Mac
На сайте проекта VMware Labs вышло обновление утилиты Control My Update 2.1.3. Напомним, что это средство позволяет контролировать и управлять всеми обновлениями, предоставляемыми через Windows Update. В прошлый раз мы писали об этой утилите вот тут.
С помощью Control My Update можно создавать полностью поддерживаемые со стороны Windows Update конфигурации и использовать саму утилиту для их установки и мониторинга. CMU состоит из двух отдельных компонентов:
Custom Profile Generator - это графическая PowerShell-утилита, которая дает GUI для конфигурации профилей Windows Update с наиболее актуальными поддерживаемыми настройками (20H2 и более поздние). Также можно создавать Delivery Optimization Profiles и конфигурации самой утилиты Control My Update.
Control My Update - это надстройка над Windows Update для накатывания патчей и формирования отчетов. Вы можете выбрать источник обновлений - WSUS или Microsoft Update, определить окна обслуживания для установок обновлений и загрузить все необходимые апдейты перед установкой (что уменьшает время для нескольких систем). После этого можно накатить обновления и emergency-патчи, создавать кастомные нотификации и исключать отдельные KB из потока установки обновлений.
Посмотрим, что нового появилось в Control My Update версии 2.1.3 (а также 2.1.1 и 2.1.2):
Добавлена поддержка Windows 10 и 11 22H2
Добавлена очень полезная функция Update Rollback
Добавлена опция перезагрузки в случае, если пользователь не залогинен в систему
Добавлена функция назначения сенсора при адплоаде и назначении сенсоров
Новая опция по включению/отключению тестирования соединения. Также тест соединения запускается по тому же расписанию, что и Windows Update search
Поправлена проблема с нотификацией, когда устройство использует окно обслуживания
Пофикшен баг, который возникает при установке одиночного обновления
Скачать Control My Update версии 2.1.3 можно по этой ссылке.
На сайте проекта VMware Labs вышло обновление средства Imager версии 2.0. Напомним, что этот инструмент позволяет создать полностью чистую виртуальную машину с гостевой ОС Windows 10 на борту с нуля в рамках простого, автоматизированного и бесшовного процесса. Администратору нужно просто указать установочный ISO-образ, а утилита Imager сделает всю работу по созданию полностью готовой к использованию ВМ с помощью средств Sysprep. Об Imager 1.1 мы писали ранее вот тут.
Давайте посмотрим, что нового в Imager 2.0:
Поддержка Managed VMs
Это новый способ упаковки Windows-десктопов с помощью Sysprep, которые могут исполняться на пользовательских компьютерах в изолированных окружениях.
Это аналог Offline VDI, где пользователь использует виртуальный десктоп полностью офлайн на своем ПК или ноутбуке. С точки зрения производительности, такой виртуальный ПК работает быстрее всего и представляет собой аналог физической машины.
В этом случае внутрь ВМ ставится легковесный агент, который помогает быстро и удобно сконфигурировать основные параметры гостевой системы.
Также стали доступны следующие возможности:
Кастомизатор файлов для Unattend-процессов
Полная поддержка интерфейса командной строки
Верификация состояния гостевой ОС при сборке образов
Добавлены ограничения типов USB-устройств для образов ВМ
Более быстрая сборка образов ВМ
Получение логов гостевой ОС для каждой стадии создания образа
Обновлен Windows ADK до последней версии
Повышена надежность создания конечного образа
Исправлены возможные прерывания создания образов для Windows PE ISO, на различных стадиях обновления ОС, а также для механизма sysprep, включая улучшенную обработку пакетов AppX
Отключение звуков загрузки Windows при создании образа
Различные исправления и улучшения пользовательского интерфейса
Не секрет, что являясь конкурентами в плане технологий виртуализации, компании VMware и Microsoft также ведут и сотрудничество. Как раз результатом такого сотрудничества и стала интеграция драйверов VMware Paravirtual SCSI controller (PVSCSI) в операционную систему Microsoft Windows 11, начиная с версии 2H22 (выпущена 20 сентября этого года).
Раньше при установке гостевой ОС в виртуальной машине на дисках PVSCSI система Windows просто не видела диски на этом контроллере, поэтому установить ее на них было нельзя. Теперь же на шаге обнаружения диска и сетевых устройств (виртуальный сетевой адаптер с драйверов VMware VMXNET3) вы можете их увидеть в рамках рабочего процесса Windows Out of Box Experience (OOBE):
Между тем, это вовсе не значит, что после установки операционной системы вы не должны устанавливать пакет VMware Tools. Его обязательно нужно поставить, так как он содержит не только драйверы устройств, но и другие важные вспомогательные инструменты.
Также драйверы VMware Paravirtual SCSI и VMware VMXNET3 теперь включены в обновления Windows Updates:
Для получения более подробной информации об интеграции службы обновлений Windows и драйверов VMware вы можете воспользоваться статьей KB 82290 или поиском в Microsoft Update Catalog.
На сайте проекта VMware Labs вышло очередное обновление полезной многим адимнистраторам VMware vSphere утилиты - Control My Update
2.1. Напомним, что это средство позволяет контролировать и управлять всеми обновлениями, предоставляемыми через Windows Update. В прошлый раз мы писали об этой утилите вот тут.
С помощью Control My Update можно создавать полностью поддерживаемые со стороны Windows Update конфигурации и использовать саму утилиту для их установки и мониторинга. CMU состоит из двух отдельных компонентов:
Custom Profile Generator - это графическая PowerShell-утилита, которая дает GUI для конфигурации профилей Windows Update с наиболее актуальными поддерживаемыми настройками (20H2 и более поздние). Также можно создавать Delivery Optimization Profiles и конфигурации самой утилиты Control My Update.
Control My Update - это надстройка над Windows Update для накатывания патчей и формирования отчетов. Вы можете выбрать источник обновлений - WSUS или Microsoft Update, определить окна обслуживания для установок обновлений и загрузить все необходимые апдейты перед установкой (что уменьшает время для нескольких систем). После этого можно накатить обновления и emergency-патчи, создавать кастомные нотификации и исключать отдельные KB из потока установки обновлений.
Давайте посмотрим, что нового появилось в Control My Update
2.1:
Новый интерфейс Profile Generator в части настроек компонента CMU.
Параметр Retry count для обработки возникающих ошибок (полезно при скачивании и установки апдейтов).
Пофикшена ошибка с ситуацией, когда перезагрузка не происходила, если нет ожидающих обновлений.
Новый механизм нотификаций в пассивных pop-up сообщениях.
Улучшенный механизм обнаружения обновлений и отчетности.
Добавлен тест службы Windows Update and Delivery Optimization.
Добавлена возможность функции принудительной перезагрузки для не-Windows систем.
Появилась опция автоматической перезагрузки для Windows-систем.
Добавлена возможность поддержки старых механизмов configuration service provider (обнаружение 32/64-битных систем).
Исправлена ошибка функции логирования (в логах не было даты и времени после определенного момента).
Загрузить Control My Update
2.1 можно по этой ссылке (там же в комбобоксе загрузки можно скачать и документацию).
Вчера мы писали об обновленной настольной платформе виртуализации для Windows и Linux - VMware Workstation 22H2 Tech Preview, которая стала доступна для тестирования пользователями за несколько месяцев до релиза. Одновременно с этим VMware выпустила технологическое превью этого продукта и для macOS - VMware Fusion 22H2 Tech Preview.
Давайте посмотрим, что нового появится в платформе виртуализации для Маков:
1. Поддержка гостевых ОС Windows 11 на платформах Intel и Apple Silicon
Чтобы обеспечить поддержку Windows 11, от платформы виртуализации требуется поддержка механизма Trusted Platform Module. В этом релизе для работы Virtual TPM module (vTPM) были добавлены некоторые функции. В частности, vTPM имеет реализацию механизма Fast Encryption, который предполагает шифрование только критических частей виртуальных машин и их локальных хранилищ, что намного ускоряет производительность ВМ, практически не уменьшая уровень безопасности.
Устройство vTPM может быть добавлено к любой виртуальной машине, но у нее должно быть включено Full или Fast шифрование. Делается это в разделе VM Settings > Encryption, здесь мы видим возможность выбора механики шифрования:
Второй момент - это автогенерация паролей для пользователя и использование локального Mac Keychain для хранения ключей шифрования, что освобождает пользователя от необходимости вводить пароль при каждой загрузке ВМ.
Также в этой категории было сделано еще 2 улучшения:
2D-графические драйверы для Windows on ARM - теперь, чтобы Windows 11 смотрелась в виртуальной машине хорошо, VMware добавила ранние версии драйверов WDDM, которые позволяют настроить параметры отображения для 4К-окружений и более высоких разрешений.
Драйверы vmxnet3 для Windows on ARM - теперь VMware Tools ISO on ARM содержат в себе не только графические драйверы, но и реализацию улучшенных сетевых драйверов .
2. Улучшенная поддержка ВМ Linux на платформе Apple Silicon
VMware работает с комьюнити разных операционных систем и open-source проектов, таких как Mesa и open-vm-tools, чтобы обеспечить максимальную поддержку Linux на аппаратной платформе Apple Silicon. Постоянно выпускаются патчи для ядра, а также улучшения графического драйвера Mesa SVGA, чтобы надежно работало аппаратное 3D-ускорение на базе фреймворков OpenGL 4.3 + GLES 3.1 для виртуальных машин Linux с Mesa 22.1.1 и более поздних версий (для этого нужна версия ядра 5.19+).
Open-source драйверы устройств vmwgfx дают качественный пользовательский опыт пользователю и возможности корректного отображения различных разрешений в гостевой ОС.
Тут надо отметить также функцию Auto-Fit Guest Display, которая в составе Open-VM-Tools v12.0.5 позволяет выравнивать разрешение гостевой ОС, которое меняется, когда пользователь изменяет размер окна консоли. Это работает по аналогии с Debian Bookworm/Testing или Sid и Fedora 37/Rawhide. Также разрешение может быть жестко задано в меню View > Resize Virtual Machine.
3. Прочие улучшения
Для платформ Intel и Apple Silicon используется один бинарник .dmg, который организации могут использовать для массового развертывания платформы виртуализации.
Исправления багов Kernel 5.15+, которые идут постоянно в тесной работе с сообществом, позволяют устранять ошибки, проявляющиеся при загрузке. Уже сейчас система Fusion работает в дистрибутивах Debian, Fedora и Kali, и поддержка новых платформ будет постоянно расширяться.
4. Ограничения релиза
Надо понимать, что VMware сделала еще не все нужные пользователям вещи, а именно:
Fusion пока не будет поддерживать работу ВМ между разными архитектурами (например, ВМ x86_64 на маках M1).
Виртуальные машины macOS пока не поддерживаются, но VMware работает над этим.
Дистрибутивы Ubuntu 20.04.4 и 22.04 для arm64 пока не загружаются - VMware также работает над устранением этой проблемы.
Скачать VMware Fusion Tech Preview 22H2 можно по этой ссылке. Руководство по тестированию этого технологического превью находится тут, а основное комьюнити с форумом и прочими ресурсами находится на этой странице.
В самом конце июля компания VMware выпустила обновление своей основной настольной платформы виртуализации Workstation Public Tech Preview 22H2 (релиз второй половины этого года).
Давайте посмотрим, что нового появится в новой версии Workstation осенью этого года:
Поддержка ОС Windows 11 для x86_64 CPU на хостовых системах Windows и Linux.
Работа с Virtual Trusted Platform Module. Чтобы обеспечить поддержку Windows 11, от платформы виртуализации требуется поддержка механизма Trusted Platform Module. В этом релизе для работы Virtual TPM module (vTPM) были добавлены некоторые функции. В частности, vTPM имеет реализацию механизма Fast Encryption, который предполагает шифрование только критических частей виртуальных машин и их локальных хранилищ, что намного ускоряет производительность ВМ, практически не уменьшая уровень безопасности (включается это в меню VM Settings > Encryption). Второй момент - это автогенерация паролей для пользователя и использование локального keychain для хранения ключей шифрования, что освобождает пользователя от необходимости вводить пароль при каждой загрузке ВМ.
Workstation for Windows и Linux при использовании с ВМ Linux с версией kernel 5.18 или более новой и Mesa 22.1.1+ используют версию OpenGL 4.3 и OpenGL ES 3.10, что повышает качество графической подсистемы.
Autostart VMs - возможность настроить виртуальные машины, которые включаются после того, как загружается хостовый компьютер.
Скачать VMware Workstation Public Tech Preview 22H2 можно по этой ссылке. Руководство по тестированию этого технологического превью находится тут, а основное комьюнити с форумом и прочими ресурсами находится на этой странице.
На сайте VMware Labs появилась очень полезная штука - Control My Update (CMU), предназначенная для контроля и управления всеми обновлениями, предоставляемыми через Windows Update.
С помощью Control My Update можно создавать полностью поддерживаемые со стороны Windows Update конфигурации и использовать саму утилиту для их установки и мониторинга. CMU состоит из двух отдельных компонентов:
Custom Profile Generator - это графическая PowerShell-утилита, которая дает GUI для конфигурации профилей Windows Update с наиболее актуальными поддерживаемыми настройками (20H2 и более поздние). Также можно создавать Delivery Optimization profiles и конфигурации самой утилиты Control My Update.
Control My Update - это надстройка над Windows Update для накатывания патчей и формирования отчетов. Вы можете выбрать источник обновлений - WSUS или Microsoft Update, определить окна обслуживания для установок обновлений и загрузить все необходимые апдейты перед установкой (что уменьшает время для нескольких систем). После этого можно накатить обновления и emergency-патчи, создавать кастомные нотификации и исключать отдельные KB из потока установки обновлений.
Утилита поддерживает процесс обновлений Windows Update for Business, а также Rings, Deferrals и Delivery Optimization.
Скачать Control My Update можно по этой ссылке. Также от VMware доступно небольшое обзорное видео:
На сайте проекта VMware Labs вышло обновление утилиты Imager версии 1.1. Напомним, что это средство позволяет создать полностью чистую виртуальную машину с гостевой ОС Windows 10 на борту с нуля в рамках простого, автоматизированного и бесшовного процесса. Администратору нужно просто указать установочный ISO-образ, а утилита Imager сделает всю работу по созданию полностью готовой к использованию ВМ с помощью средств Sysprep.
Давайте посмотрим на новые возможности Imager 1.1:
Возможность создания виртуальной машины Windows 11
Оптимизация образов за счет интеграции с новой версией VMware OS Optimization Tool
Автоматизированное создание среды WinPE
Поддержка зашифрованных образов Windows формата .esd
Возможность запуска на Windows Server 2022
Исправления ошибок при валидации sysprep на разных этапах создания образа
Улучшенная обработка ошибок при развертывании и отмене создания образа
Улучшенная валидация на промежуточных этапах
Захват логов из гостевой ОС в общий лог Imager
Убран этап загрузки агента Workspace ONE UEM agent
Различные исправления UI и CLI
Загрузить VMware Imager 1.1 можно по этой ссылке. Инструкция по использованию находится тут.
На сайте проекта VMware Labs появилось обновление еще одной полезной штуки - Horizon Peripherals Intelligence 2.0. О первой версии этого средства мы писали осенью прошлого года вот тут, напомним, что оно предназначено для самодиагностики периферийных устройств пользователями решения VMware Horizon. C помощью данного средства можно проверить работоспособность и поддержку устройств как со стороны конечных пользователей, так и администраторов платформы Horizon.
Напомним, что утилита Horizon Peripherals Intelligence служит для решения следующих задач:
Публикация отчета о диагностике устройств по запросу конечных пользователей
Обслуживание спектра пользовательских устройств в рамках поддерживаемых со стороны официального списка совместимости device compatibility matrix
Возможность получения администратором доступа к метаданным устройств в каждой категории, где он может загружать, изменять и удалять метаданные, таким образом обслуживая матрицу поддерживаемых устройств на машинах пользователей
Что нового появилось в версии 2.0:
Добавлена поддержа клиентов Linux на базе Ubuntu 18.04 , 20.04 и Redhat 8.3, 8.4
Добавлена поддержка смарт-карт, USB-мыши и клавиатуры для Windows-клиентов
Добавлена поддержка USB-дисков, сканнеров, принтеров, камер, USB-мыши и клавиатуры для Linux-клиентов
Добавлена поддержка агента Horizon agent для последних версий Windows 10 21H1 и Windows Server 2022
Обновлена таблица Device Matrix - теперь она соответствует разделу VMware validated peripherals на VMware Marketplace
Скачать Horizon Peripherals Intelligence 2.0 можно по этой ссылке.
Таги: VMware, Horizon, Labs, Hardware, Update, Client, Linux, Windows
На днях компания VMware обновила средство VMware OS Optimization Tool до версии b2002 на сайте проекта VMware Labs. Напомним, что эта утилита нужна для подготовки гостевых ОС к развертыванию и проведению тюнинга реестра в целях оптимизации производительности, а также отключения ненужных сервисов и запланированных задач. О прошлом ее релизе мы писали вот тут.
Давайте посмотрим, что нового в мартовской версии VMware OSOT b2002:
Пункт "Block all consumer Microsoft account user authentication" отключен по умолчанию, чтобы пользователи не испытывали проблем с логином в Edge и Windows store.
Также по умолчанию отключен пункт "Turn off Thumbnail Previews in File Explorer", что приводило к не ожидаемому для пользователей поведению.
Для не-Enterprise изданий Windows 10, обновление KB4023057 устанавливает новое приложение Microsoft Update Health Tools. Теперь добавлена логика, позволяющая убедиться, что служба Windows Update Medic Service отключена при отключении обновлений, включая ситуации перещелкивания включенной/отключенной службы Windows Updates на вкладке Update.
Шаблоны Windows 8 и 8.1 были удалены из списка встроенных шаблонов. Чтобы работать с этими версиями, вам понадобится OSOT версии b1130.
Также из репозитория были удалены старые шаблоны Windows 10 1809-2004-Server 2019 и Windows 10 1507-1803-Server 2016.
Поправлена ошибка с обработкой файла тем, который обновлялся задачей Generalize, затиравшей предыдущие оптимизации.
Поправлена ошибка с файлом ответов, который теперь корректно обрабатывает имя администратора для задачи Generalize.
Удален старый код для GPO Policy corruption.
Убрано окошко CMD.exe, которое появлялось при логине.
Пофикшена ошибка, когда Windows Store Apps некорректно удалялись для Windows 10 version 20H2
Скачать VMware OS Optimization Tool версии b2002 можно по этой ссылке.
На днях в различных источниках появились сообщения об уязвимости CVE-2021-21972, которая есть в сервисах vCenter, что может привести к удаленному исполнению кода злоумышленником. Уязвимость по степени критичности оценивается на 9.8 из 10 (по шкале Common Vulnerability Scoring System Version 3.0) и имеет полное описание на сайте VMware как VMSA-2021-0002.
Интересно, что примеры реализации эксплоитов для Windows и Linux на базе этой уязвимости появились как минимум в шести разных местах, включая репозитории на GitHub (например, тут, тут и тут).
VMware сразу же выпустила патч к этой уязвимости, который вы можете загрузить по этой ссылке.
После публикации уязвимости начались массовые сканирования серверов vCenter (кстати, не удивительно, что уязвимость нашел русский инженер, вот ее описание):
Уязвимость использует дырку в плагине vRealize Operations, который установлен по умолчанию, для неавторизованной загрузки файлов по порту 443, после чего становится доступным удаленное исполнение кода в операционной системе vCenter со всеми вытекающими.
В общем, всем нужно поскорее накатывать патч, так как любой с доступом к порту 443 сервера vCenter может потенциально получить к нему полный доступ.
Уязвимость CVE-2021-21972 затрагивает версии vCenter Server 6.5, 6.7 и 7.01. Соответственно, вам нужно накатить 6.5 Update 3n, 6.7 Update 3l или 7.0 Update 1c как можно скорее. Если накатить сейчас не можете, то временный workaround описан в KB 82374.
На днях на сайте проекта VMware Labs появилась новая версия средства VMware OS Optimization Tool (билд b2000), предназначенного для подготовки гостевых ОС к развертыванию и проведению тюнинга реестра в целях оптимизации производительности, а также отключения ненужных сервисов и запланированных задач. Напомним, что о прошлом релизе (b1171) мы писали вот тут.
Давайте посмотрим, что интересного появилось в новой версии:
Новая опция, позволяющая отложить обновления фич или сразу накатить их (или пропустить)
Такая же опция, касающаяся quality updates
Возможность пропустить обновления Office Click-to-Run
Добавлены команды по остановке и отключению служб App Volumes при повторном включении Windows Update
После этого они будут установлены в значение automatic, если Windows Update будет снова отключен
Также в новом билде было поправлено много ошибок:
Исправлена проблема, из которой останавливался автоматический логин в издания Server и WVD после применения Sysprep
Исправлено подтверждение перезагрузки в процессе генерализации Win10 1607 LTSB
Исправлена проблема с невозможностью включения антивируса в Windows 10 2004
Исправлена проблема со скачиванием обновлений фичей при повторном включении Windows Update
Выбор Common options теперь сохраняется при следующих запусках OS Optimization Tool
Для всех вкладок пользователи могут применять разные настройки Common Options на оптимизируемой системе
На вкладке Update есть опция включения/выключения обновлений Office 365, 2016, 2019
На вкладке Store Apps есть чекбокс для отключения удаленных встроенных приложений.
Скачать VMware OS Optimization Tool b2000 можно по этой ссылке.
На сайте проекта VMware Labs появилась очередная полезная штука - утилита Workspace ONE Discovery. Она запускается на рабочих станциях Windows 10 под управлением решения Workspace ONE, где будет показывает различную информацию об оконечных устройствах (Certificate Management, Application Deployment, Profile Management).
Workspace ONE Discovery выводит сервисы, относящиеся к Workspace ONE, а также информацию о том, какие приложения были развернуты. С помощью специального представления можно увидеть, как были сконфигурированы профили, посмотреть сертификаты и отследить, какие апдейты Microsoft Windows были установлены.
Данную информацию можно использовать для решения проблем с рабочими станциями под управлением Workspace ONE. После запуска вы увидите 6 вкладок:
Overview - общая информация об устройстве, какой экзмепляр Workspace ONE UEM управляет этим устройством, и какие сервисы, относящиеся к Workspace ONE, запущены и работают
Packages – список приложений, которые были поставлены с помощью Workspace ONE UEM
Profiles – список изменений, сделанных в профилях средствами Workspace ONE UEM
User Certificates – список установленных пользовательских сертификатов
Machine Certificates – список установленных сертификатов устройств
Windows Updates – список установленных обновлений
Более подробно о Workspace ONE Discovery рассказано в видео ниже:
Скачать Workspace ONE Discovery можно по этой ссылке. Сама утилита работает только на Windows 10.
На сайте проекта VMware Labs очередное обновление - вышел апдейт VMware OS Optimization Tool
b1150. Напомним, что это средство предназначено для подготовки гостевых ОС к развертыванию и проведению тюнинга реестра в целях оптимизации производительности, а также отключения ненужных сервисов и запланированных задач. О прошлой версии этой утилиты b1140 мы писали вот тут.
Давайте посмотрим, что нового есть в апрельском апдейте OS Optimization Tool:
Появилась поддержка Windows 10 version 2004 (добавлено во встроенный шаблон Windows 10 1809 – XXXX-Server 2019).
Добавлено множество оптимизаций для Windows 10 и Windows Server.
Новые настройки для приложений:
Office 2013/2016/2019:
Отключить стартовый экран
Отключить анимации
Отключить аппаратное ускорение
Internet Explorer 11 и браузер Edge:
Возможность добавить пустую домашнюю страницу
Не показывать мастер первого запуска
Отключить аппаратное ускорение
Adobe Reader 11 и DC
Отключить аппаратное ускорение
Множество дополнительных мелких оптимизаций
Несколько новых оптимизаций для служб Windows и запланированных задач, уменьшающих время инициализации ОС и увеличивающих производительность.
Несколько кнопок было переименовано и реорганизовано, чтобы лучше отражать суть того, что они делают.
Улучшения структуры файла ответов Sysprep.
Новые настройки для задач во время операции Generalize.
Автоматизация использования утилиты SDelete для обнуления блоков на диске (полезно при клонировании диска).
Создание локальных групповых политик для компьютера и пользователя, которые можно посмотреть с помощью утилит RSOP и GPEdit.
Поддержка командной строки для шага Generalize.
Finalize можно запускать без указания шаблона.
Удалены устаревшие шаблоны для Horizon Cloud и App Volumes.
В декабре мы писали о новой версии решения VMware OS Optimization Tool, которое предназначено для подготовки гостевых ОС к развертыванию и проведению тюнинга реестра в целях оптимизации производительности, а также отключения ненужных сервисов и запланированных задач.
В январе вышла новая версия (билд b1140) этого решения. Давайте посмотрим, что в ней появилось нового:
Новая кнопка на экране результатов задач, которая позволяет сохранить страницу как HTML-файл.
Новая опция, которая упрощает задачу запуска Sysprep с использованием стандартного файла ответов. Теперь можно отредактировать файл ответов до запуска Sysprep для него.
Новая опция по автоматизации задач в рамках этапа финализации (они переехали из common options), которые запускаются как последний шаг перед тем, как Windows будет выключена, чтобы ВМ была использована в решении VMware Horizon. Она включает в себя задачи по system clean up (очистка диска, NGEN, DISM и задача Compact). Ранее эти задачи были доступны в диалоге опций командной строки. Также можно чистить лог событий, информацию о серверах KMS и отпускании IP-адреса.
Новая вкладка опций Security - она позволяет быстро выбрать наиболее частые настройки безопасности. Они относятся к Bitlocker, Firewall, Windows Defender, SmartScreen и HVCI.
Добавлен параметр командной строки -o для запуска утилиты без применения оптимизаций (например, clean up).
Изменена дефолтная настройка на "не отключать Webcache", потому что это приводило к невозможности для браузеров Edge и IE сохранять файлы.
Недавно компания Microsoft объявила о том, что мартовские обновления Windows в этом году затронут поведение серверов Microsoft LDAP (доменных контроллеров), которые являются частью сервисов Active Directory. Эти изменения заключаются в том, что теперь механизмы LDAP channel binding и LDAP signing будут включаться по умолчанию, а для уже существующих инсталляций дефолтные настройки изменятся. На это обратил внимание один из наших читателей, который дал ссылку на соответствующую статью коллег из компании VMware.
В целом, инициатива эта позитивная - она согласуется с оповещением безопасности CVE-2017-8563, которое говорит о том, что незащищенная коммуникация LDAP может быть скомпрометирована. Поэтому, начиная с марта, любая LDAP-коммуникация, которая не использует TLS, потенциально может быть отвергнута Windows-системой. Почитайте, кстати, об этой суете на Reddit.
Это, конечно же, затрагивает и платформу VMware vSphere, компоненты которой могут использовать как обычный протокол LDAP (ldap://), так и защищенный LDAPS (ldaps://) для соединения со службами Active Directory. Также VMware vSphere поддерживает и механизм аутентификации Integrated Windows Authentication (IWA), который не затрагивают грядущие изменения.
Если вы уже настроили ваш vCenter Server для доступа к Active Directory через LDAP с TLS (LDAPS) или через механизм IWA, то вам не стоит бояться обновлений (если эти соединения идут не через балансировщики или прокси-серверы).
Проверить текущую интеграцию с LDAP в vCenter можно в разделе Configuration -> Identity Sources:
Как мы видим из трех источников идентификации по ldap только один использует TLS и будет работать после апдейтов, а вот первые два источника требуют перенастройки.
После мартовских обновлений при логине в vSphere Client через аккаунты Active Directory вы можете получить вот такую ошибку:
Invalid Credentials
При попытке добавить или изменить Identity Source в vCenter вы получите вот такую ошибку:
Check the network settings to make sure you have network access to the identity source
Поэтому попытаться сделать нужные настройки (хотя бы в изолированной от производственного окружения среде) нужно уже сейчас. Тем более, что vCenter позволяет одновременно использовать несколько Identity Sources.
Для того, чтобы настроить и протестировать LDAP Channel Binding & Signing можно использовать следующие материалы:
Документ о настройке LDAP Signing в Windows Server 2008 говорит, что вам надо изменить групповую политику "Default Domain Policy" (для домена), а также "Default Domain Controllers Policy" (для контроллеров домена), после чего дождаться ее обновления или обновить ее командой gpupdate /force.
Надо понимать, что обновление этих политик затронет не только инфраструктуру VMware vSphere, но и все остальные сервисы, использующие LDAP, поэтому процесс этот нужно тщательно спланировать. Кстати, если вы это будете делать для виртуальных машин с контроллерами домена в тестовой конфигурации, то можно сделать снапшот всего тестового окружения перед изменением конфигурации, чтобы откатиться к ним в случае, если вы что-то не предусмотрели (для производственной среды снапшоты контроллеров домена делать не стоит).
Чтобы проверить, что политики применились, можно использовать встроенную утилиту Windows ldp.exe. Запустите ее на контроллере домена и укажите адрес localhost и порт 389:
Дальше идите в меню Connection утилиты и выберите там пункт Bind, где нужно ввести креды доменного администратора и выбрать вариант Simple bind:
После этого вы должны увидеть ошибку "Error 0x2028 A more secure authentication method is required for this server", которая говорит о том, что вы корректно отключили все небезопасные байндинги LDAP:
Если вы не получили такой ошибки, то значит настройки у вас еще не применились, и их надо проверить.
О настройке сервера vCenter для LDAPS рассказано вот тут. Единственное, что вам потребуется - это добавить рутовый сертификат для сервера vCenter, который можно вывести следующей командой (если под Windows надо будет поставить Open SSL, под Linux утилита уже встроена):
Далее скопируйте все данные между "—–BEGIN CERTIFICATE—" и "—–END CERTIFICATE—–", после чего сохраните это в текстовый файл.
Никакой срочности до марта нет, поэтому не нужно суетиться и обновлять все Identity Sources, но разрабатывать план по переходу на LDAPS и тестировать его нужно уже сейчас. Будет неприятно, если пользователи неожиданно столкнутся с проблемой аутентификации. И да, откладывать обновления Windows не вариант - это единственный способ своевременно закрывать дырки в сфере информационной безопасности для вашей компании.
Компания VMware выпустила обновленное технологическое превью настольной платформы виртуализации VMware Workstation Tech Preview 20H1 (первая половина 2020 года). Это первый релиз в этом году, который, как правило, выходит в GA через 2-3 месяца после выхода превью.
Главное нововведение VMware Workstation 2020 - это возможность запускать продукт на хосте Windows 10, где включены возможности Hyper-V или Virtualization Based Security за счет использования Windows Hypervisor Platform API. Это позволит также запустить и использовать сервисы Device Guard и Credential Guard одновременно с VMware Workstation. Данная возможность была представлена еще на VMworld 2019, и вот теперь ее можно уже полноценно тестировать.
Для того, чтобы Workstation работала на Windows 10 с этими фичами, потребуется следующее:
Windows 10 20H1 из Windows insider program (минимальный билд 19041)
Intel Haswell CPU или более новый
AMD Bulldozer CPU или более новый
VMware предлагает на таких хостах потестировать пользователям включение/выключение виртуальной машины и базовые операции с ней, а также проверить запуск машин с предыдущих версий Workstation.
Скачать VMware Workstation Tech Preview 20H1 можно по этой ссылке. Также можно обсудить свой опыт работы с новой версией в специальном комьюнити. Кроме того, есть еще вот такой обзорный документ по новой версии (там есть информация об известных проблемах).
Таги: VMware, Workstation, Update, Preview, Hyper-V, Windows
Интересное наблюдение от коллеги с блога ivobeerens.nl - оказывается драйверы pvscsi и vmxnet3, входящие в состав пакета VMware Tools, накатываются в гостевую ОС машин VMware vSphere через службу обновлений Windows Update:
В версии VMware Tools 10.3.10 (или выше) это работает для ОС Windows Server 2016 и Windows Server 2019.
Таким образом, указанные драйверы обновляются как часть процесса обновления Windows, что, в свою очередь, сокращает число требуемых перезагрузок во время обновлений.
RSS
