本主題詳細說明超級租用戶組態的必要條件。

網路需求

超級租用戶必須有周邊網路 (例如上圖中的 DMZ),其中租用戶應用裝置和其他面相外部的元件 (例如 Unified Access Gateway) 位於防火牆後方。租用戶管理員必須為每個要隔離的客戶建立子網路。每個子網路必須標示 (通常使用客戶識別碼或名稱),以便在 Hypervisor 和平台上輕鬆識別客戶。管理員必須設定這些子網路,以允許 DMZ 和客戶子網路之間的流量 (例如,圖 2.5 中的 N1C1 和 N2C2),反之亦然。管理員可以在 vCenter 內使用 DVS (分散式虛擬交換器) 或標準 vSwitch 網路。最好使用分散式虛擬網路,因為每個資料中心的 VLAN 數目受限於網路規格 (4096 個 VLAN 或更少)。

租用戶 Active Directory 和 DNS 組態

租用戶管理員可以建立客戶特定的安全群組,以使用單一 Active Directory 來服務所有客戶。網域控制站和 DNS 伺服器必須位於 DMZ 網路,才可讓客戶指派的所有子網路進行連線。關於跨子網路使用網域控制站,請參閱 Microsoft 建議的最佳做法。

管理員應為每個客戶建立安全群組,以在平台上輕鬆進行使用者管理和組態,例如使用者對應。在 Active Directory 中的 OU 下方使用安全群組建立「組織單位」即可分隔客戶。

租用戶 DHCP 組態

租用戶管理員在設定 DHCP 時,應考量子網路的網路拓撲。只要利用網路路由器的 BOOTP 轉送代理程式功能,或在每個子網路上以另一台電腦充當轉送代理程式,便能使用單一 DHCP 伺服器服務所有子網路桌面用戶端。

應驗證每個 DHCP 範圍,以確保每個網路子網路的網域控制站和 DNS 組態正確。

請參閱 Microsoft 建議和最佳做法以設定 DHCP 伺服器:http://technet.microsoft.com/en-us/library/cc771390.aspx

映像

租用戶管理員應建立映像,並根據客戶的需求進行自訂。管理員可以視需要為每個客戶建立個別映像。

備註: 由於 Microsoft 授權限制,不建議在超級租用戶中使用 Windows 用戶端作業系統映像 (例如 Windows 7)。具體而言,與 Windows 7 (包含 Windows XP 和 Windows 8) 相關聯的授權要求虛擬執行個體必須在每個客戶的隔離硬體上執行 (例如,客戶 A 和客戶 B 的 Windows 7 執行個體不得位於相同的伺服器或刀鋒伺服器上)。由於授權限制,最常見的方法是使用個別的 Windows Server 執行個體 (外觀上像 Windows 7)。此方法可讓使用者熟悉桌面的外觀和風格,也允許透過 SPLA 授權來共用基礎結構。如需進一步資訊,請參閱 microsoft.com 上的 Microsoft Windows 虛擬化授權。