In diesem Thema werden die Voraussetzungen für die Konfiguration von Supermandanten beschrieben.

Netzwerkanforderungen

Ein Supermandant benötigt ein Umkreisnetzwerk (z. B. DMZ in der Abbildung oben), bei dem sich die Mandanten und andere extern gerichtete Komponenten wie Unified Access Gateway hinter einer Firewall befinden. Der Mandantenadministrator muss für jeden Kunden Subnetze zur Isolation erstellen. Jedes Subnetz muss mit einer Bezeichnung (in der Regel mit einer Kunden-ID oder einem Namen) versehen werden, um Kunden auf Hypervisoren und der Plattform problemlos identifizieren zu können. Der Administrator muss diese Subnetze so konfigurieren, dass der Datenverkehr zwischen DMZ und den Subnetzen der Kunden(z. B. N1C1 und N2C2 in Diagramm 2.5) zulässig ist und umgekehrt. Der Administrator kann entweder Netzwerke mit Distributed Virtual Switch (DVS) oder Standard-vSwitch innerhalb von vCenter verwenden. Es kann vorteilhaft sein, ein verteiltes virtuelles Netzwerk zu verwenden, da die Anzahl der VLANs je Datencenter gemäß den Netzwerkspezifikationen begrenzt ist (4096 VLANs oder weniger).

Konfiguration von Mandanten-Active Directory und -DNS

Der Mandantenadministrator kann ein einziges Active Directory für alle Kunden durch die Erstellung kundenspezifischer Sicherheitsgruppen verwenden. Die Domänencontroller und der DNS-Server müssen sich im DMZ-Netzwerk befinden, sodass alle den Kunden zugewiesenen Subnetze eine Verbindung herstellen können. Informieren Sie sich über die empfohlenen Best Practices für die Verwendung von Domänencontrollern über Subnetze hinweg.

Der Administrator sollte Sicherheitsgruppen für jeden Kunden erstellen, um die Benutzerverwaltung und -konfiguration auf der Plattform (z. B. die Benutzerzuweisung) zu erleichtern. Kunden können durch das Erstellen von Organisationseinheiten mit Sicherheitsgruppen unter dem Organisationseinheiten in Active Directory getrennt werden.

Mandanten-DHCP-Konfiguration

Der Mandantenadministrator sollte DHCP unter Berücksichtigung der Netzwerktopologie von Subnetzen konfigurieren. Ein einziger DHCP-Server kann für alle Subnetz-Desktopclients verwendet werden, indem die BOOTP-Relay-Agent-Funktion eines Netzwerkrouters oder ein anderer Computer, der als Relay-Agent in jedem Subnetz fungieren kann, genutzt wird.

Jeder DHCP-Bereich sollte überprüft werden, um den korrekten Domänencontroller und die richtige DNS-Konfiguration für jedes Netzwerksubnetz zu gewährleisten.

Weitere Informationen zum Konfigurieren des DHCP-Servers finden Sie in den Empfehlungen und Best Practices von Microsoft: http://technet.microsoft.com/en-us/library/cc771390.aspx

Image

Der Mandantenadministrator sollte ein Image erstellen und es gemäß den Anforderungen des Kunden anpassen. Der Administrator kann bei Bedarf individuelle Images für jeden Kunden erstellen.

Hinweis: Die Verwendung eines Windows-Client-Betriebssystem-Images, z. B. Windows 7, in einem Supermandanten ist aufgrund von Lizenzrestriktionen von Microsoft möglicherweise nicht ratsam. Insbesondere erfordert die Lizenz, die mit Windows 7 (und auch Windows XP und Windows 8) verknüpft ist, dass virtuelle Instanzen auf isolierter Hardware pro Kunde ausgeführt werden (z. B. Windows 7-Instanzen für Kunde A und Kunde B können sich nicht auf demselben Server oder Blade befinden). Ein häufiger Ansatz ist aufgrund der Lizenzeinschränkungen die Verwendung einzelner Windows-Server-Instanzen mit Windows 7-Skinning. Dieser Ansatz bietet dem Endbenutzer ein bekanntes Desktopdesign und ermöglicht zudem die gemeinsame Nutzung der Infrastruktur mittels SPLA-Lizenz. Weitere Informationen finden Sie in der Microsoft Windows-Lizenz für die Virtualisierung unter microsoft.com.