大规模部署桌面虚拟化时的问题
此用戶當前已經(jīng)有超過40臺域控制器分布在全國范圍30余個位置,每個站點根據(jù)規(guī)模及重要級別部署1-2臺域控制器來負責本地PC的域驗證工作,目前需要在全國范圍內(nèi)部署7000個虛擬桌面供員工辦公和營業(yè)網(wǎng)點使用。
通過Active Directory站點和服務控制臺可以看到如下的站點分布,客戶已經(jīng)將整個集團的網(wǎng)絡打通,通過子網(wǎng)/站點的方式進行統(tǒng)一的域管理。
用戶在信息安全方面做得比較細致,在部署活動目錄之初,就使用到了活動目錄中用戶登錄到工作站選項來控制用戶登錄計算機,雖然在一定程度上增加了域管理方面的工作量,但是用戶帳戶的安全性因為受限也因此得到了較高的保證。
另外,用戶也部署了NAC(網(wǎng)絡準入控制,通過Windows 2008的NAP來完成)來防止非企業(yè)受信的設備接入到公司內(nèi)網(wǎng)中,造成安全上的風險,因此如果接入的PC沒有加入并登錄到用戶的域環(huán)境,將不能接入到公司的業(yè)務生產(chǎn)網(wǎng)絡。
以往每個用戶只有一臺PC機,因此在活動目錄的登錄到工作站中只需要增加PC的名稱在列表中即可,如PC01
但是隨著桌面虛擬化的引入,每個用戶至少多了兩個操作系統(tǒng)實例(瘦客戶機和虛擬桌面),即需要登錄到瘦客戶機(Windows XP Embedded系統(tǒng),用戶使用了網(wǎng)絡準入機制,必順要登錄到域環(huán)境中才可以進行生產(chǎn)網(wǎng)絡的訪問),同時虛擬桌面也必須加入域才能夠正常工作。因此域管理員將瘦客戶機和虛擬桌面的名稱都加入到了登錄到工作站的列表中。
看起來大功告成,可以喝點茶休息一下了,結(jié)果登錄view client時出錯:
用戶名密碼肯定沒有問題,唯一的改變就是之前做的登錄工作站選項的問題,百思不得其解之際,想到因為認證都是由View Connection server轉(zhuǎn)發(fā),莫非登錄到工作站處也需要將View Connection server加入進去?
果不其然,之前的想法得到了印證,將view connection server加到登錄工作站列表中之后,view client的報錯沒有再出現(xiàn)。
如果問題這么簡單,當然對不起各位看官了,大家繼續(xù)往下看:
因為瘦客戶機分布在各個站點,這些瘦客戶機登錄時自然會選擇就近的域控制器(這個是靠windows子網(wǎng)與站點策略來完成的),分公司的IT人員做有對應的域管理員權(quán)限,因些可以對所屬的用戶及組進行管理,如對重置用戶密碼,進行組策略設置等。
在桌面虛擬化的Pilot(試運行)階段,嘗試多次登錄登出虛擬桌面是很一個比較常見的用例,結(jié)果一個測試帳號因為多次輸入錯誤密碼被強制鎖定了(用戶的域帳戶策略設置了3次錯誤密碼后將鎖定帳戶),IT管理員很配合,幫助我們進行了帳戶解鎖操作,但是發(fā)現(xiàn)在view client上,這個用戶帳戶一直登錄不上去,顯示帳號鎖定,登錄不成功。
注銷瘦客戶機使用測試這個帳戶,登錄沒有任何的問題,奇怪了,同一個域,同一個帳戶,為什么會出現(xiàn)這個問題呢?
來回進行多次重復的測試,大概在5分鐘之后,在view client又可以登錄了,奇怪,難道人品現(xiàn)在都這么差了?
一不小心,已經(jīng)是晚上8點多了,項目經(jīng)理看大家都餓了,幫助叫了KFC的外賣,外賣不到,我等馬上停下手里的活,補充能量去…
大家邊吃邊討論著這個問題,突然腦子里有了靈感,瘦客戶機和虛擬桌面部署在不同的位置(客戶要求所有的虛擬桌面必須集中的放置在全國的數(shù)個數(shù)據(jù)中心中,而接入設備而分布在全國各地),那么意味道著他們對應的子網(wǎng)和站點也不可能同一個,自然域控制器也不是同一臺了,果不其然,通過在命令行中執(zhí)行set命令返回的結(jié)果印證了我的想法,瘦客戶機和虛擬桌面使用的域控制器相隔兩地,不在同一個局域網(wǎng)中。
既然用的域控制器不是同一臺,域控與域控之間的信息同步根據(jù)網(wǎng)絡連接的情況,需要一些時間來同步也是自然,為了印證我的想法,IT管理員將虛擬桌面所在的子網(wǎng)在“Active Directory站點和服務”控制臺上從默認站點移動了瘦客戶機所在的站點上,重啟虛擬桌面和View connection server進行測試,并在域控制器上進行測試用戶重置密碼,設定用戶屬性等操作,基本做到了瘦客戶機和虛擬桌面的域帳戶狀態(tài)和用戶信息的同步。
一直在說虛擬桌面將操作環(huán)境與運行環(huán)境進行了分離,這就是一個再好不過的例子了,作為一個虛擬化從業(yè)人員,犯這樣的低級錯誤實在是有些不應該。自我檢討10分鐘…
解決了上面的問題,心情大好,最后大家的話題又落在準入控制的問題上,每臺PC都要入域這本來完全合情合理,不過瘦客戶機加入域這個實在是有些為難:
1.瘦客戶機要安裝準入控制的軟件客戶端
2.瘦客戶機要加入到域中,并使用域帳戶登錄OS
3.瘦客戶機上還需要安裝公司域控制器上自動推送的各種安全代理程序、補丁,性能本身就不高的瘦客戶機有些吃不消
跟IT經(jīng)理來回的溝通,使用準入控制的原因和目的無非是為了保證接入設備的安全,如果我們認為缺省就認為瘦客戶機是可以信任的設備(否則也不需要淘汰以往的PC,換上瘦客戶機了),那么為什么不可能對他們往開一面呢?IT經(jīng)理好像被我們的理由說服了,頻頻點頭之后認可了我們的方案,立即致電給瘦客戶機供貨商,要求他們提供所有瘦客戶機的Mac地址信息,并統(tǒng)一的導入到準入控制軟件中,進行白名單處理。現(xiàn)在,這些瘦客戶機再也不用受準入控制的“嚴格盤查”了。
其實,瘦客戶機產(chǎn)品設計之初,就已經(jīng)考慮并設置了安全,如:
1.EWF寫保護模式,重啟之后,所有的變更會全部刪除,類似以往的還原卡技術(shù)
2.使用專用的防火墻軟件,如HP的瘦客戶機中,就安裝了sygate的防火墻軟件
3.使用專有的OS,如Linux等
通過將準入控制策略在瘦客戶機上忽略,用戶在瘦客戶機的選型上也有了更多的選擇,而不再需要只限定使用Windows XP Embedded系統(tǒng)的瘦客戶,這意味著更多的型號的設備和一些可能更安全的設備可以被使用(如WYSE WTOS本人認為是一款非常優(yōu)秀的瘦客戶機OS,輕巧,定制能力強,安全性也非常不錯,最近在日本的一家銀行中有被大量使用超過5萬臺)
轉(zhuǎn)載于:https://blog.51cto.com/wangxiaoqiang/1356416
總結(jié)
以上是生活随笔為你收集整理的大规模部署桌面虚拟化时的问题的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 1440x720屏幕清晰吗
- 下一篇: Incorrect line endin