最近在某大型企业实施虚拟桌面项目,遇到了一些与安全与域管理相关的问题,分享给计划或正在部署虚拟桌面的朋友们。

此用户当前已经有超过40台域控制器分布在全国范围30余个位置,每个站点根据规模及重要级别部署1-2台域控制器来负责本地PC的域验证工作,目前需要在全国范围内部署7000个虚拟桌面供员工办公和营业网点使用。

通过Active Directory站点和服务控制台可以看到如下的站点分布,客户已经将整个集团的网络打通,通过子网/站点的方式进行统一的域管理。

image

 

用户在信息安全方面做得比较细致,在部署活动目录之初,就使用到了活动目录中用户登录到工作站选项来控制用户登录计算机,虽然在一定程度上增加了域管理方面的工作量,但是用户帐户的安全性因为受限也因此得到了较高的保证。

另外,用户也部署了NAC(网络准入控制,通过Windows 2008的NAP来完成)来防止非企业受信的设备接入到公司内网中,造成安全上的风险,因此如果接入的PC没有加入并登录到用户的域环境,将不能接入到公司的业务生产网络。

以往每个用户只有一台PC机,因此在活动目录的登录到工作站中只需要增加PC的名称在列表中即可,如PC01

但是随着桌面虚拟化的引入,每个用户至少多了两个操作系统实例(瘦客户机和虚拟桌面),即需要登录到瘦客户机(Windows XP Embedded系统,用户使用了网络准入机制,必顺要登录到域环境中才可以进行生产网络的访问),同时虚拟桌面也必须加入域才能够正常工作。因此域管理员将瘦客户机和虚拟桌面的名称都加入到了登录到工作站的列表中。

 image

看起来大功告成,可以喝点茶休息一下了,结果登录view client时出错:

image

用户名密码肯定没有问题,唯一的改变就是之前做的登录工作站选项的问题,百思不得其解之际,想到因为认证都是由View Connection server转发,莫非登录到工作站处也需要将View Connection server加入进去?

image

果不其然,之前的想法得到了印证,将view connection server加到登录工作站列表中之后,view client的报错没有再出现。

如果问题这么简单,当然对不起各位看官了,大家继续往下看:

因为瘦客户机分布在各个站点,这些瘦客户机登录时自然会选择就近的域控制器(这个是靠windows子网与站点策略来完成的),分公司的IT人员做有对应的域管理员权限,因些可以对所属的用户及组进行管理,如对重置用户密码,进行组策略设置等。

在桌面虚拟化的Pilot(试运行)阶段,尝试多次登录登出虚拟桌面是很一个比较常见的用例,结果一个测试帐号因为多次输入错误密码被强制锁定了(用户的域帐户策略设置了3次错误密码后将锁定帐户),IT管理员很配合,帮助我们进行了帐户解锁操作,但是发现在view client上,这个用户帐户一直登录不上去,显示帐号锁定,登录不成功。

注销瘦客户机使用测试这个帐户,登录没有任何的问题,奇怪了,同一个域,同一个帐户,为什么会出现这个问题呢?

来回进行多次重复的测试,大概在5分钟之后,在view client又可以登录了,奇怪,难道人品现在都这么差了?

一不小心,已经是晚上8点多了,项目经理看大家都饿了,帮助叫了KFC的外卖,外卖不到,我等马上停下手里的活,补充能量去…

大家边吃边讨论着这个问题,突然脑子里有了灵感,瘦客户机和虚拟桌面部署在不同的位置(客户要求所有的虚拟桌面必须集中的放置在全国的数个数据中心中,而接入设备而分布在全国各地),那么意味道着他们对应的子网和站点也不可能同一个,自然域控制器也不是同一台了,果不其然,通过在命令行中执行set命令返回的结果印证了我的想法,瘦客户机和虚拟桌面使用的域控制器相隔两地,不在同一个局域网中。

image

既然用的域控制器不是同一台,域控与域控之间的信息同步根据网络连接的情况,需要一些时间来同步也是自然,为了印证我的想法,IT管理员将虚拟桌面所在的子网在“Active Directory站点和服务”控制台上从默认站点移动了瘦客户机所在的站点上,重启虚拟桌面和View connection server进行测试,并在域控制器上进行测试用户重置密码,设定用户属性等操作,基本做到了瘦客户机和虚拟桌面的域帐户状态和用户信息的同步。

image

一直在说虚拟桌面将操作环境与运行环境进行了分离,这就是一个再好不过的例子了,作为一个虚拟化从业人员,犯这样的低级错误实在是有些不应该。自我检讨10分钟…

解决了上面的问题,心情大好,最后大家的话题又落在准入控制的问题上,每台PC都要入域这本来完全合情合理,不过瘦客户机加入域这个实在是有些为难:

1.瘦客户机要安装准入控制的软件客户端

2.瘦客户机要加入到域中,并使用域帐户登录OS

3.瘦客户机上还需要安装公司域控制器上自动推送的各种安全代理程序、补丁,性能本身就不高的瘦客户机有些吃不消

 

跟IT经理来回的沟通,使用准入控制的原因和目的无非是为了保证接入设备的安全,如果我们认为缺省就认为瘦客户机是可以信任的设备(否则也不需要淘汰以往的PC,换上瘦客户机了),那么为什么不可能对他们往开一面呢?IT经理好像被我们的理由说服了,频频点头之后认可了我们的方案,立即致电给瘦客户机供货商,要求他们提供所有瘦客户机的Mac地址信息,并统一的导入到准入控制软件中,进行白名单处理。现在,这些瘦客户机再也不用受准入控制的“严格盘查”了。

其实,瘦客户机产品设计之初,就已经考虑并设置了安全,如:

1.EWF写保护模式,重启之后,所有的变更会全部删除,类似以往的还原卡技术

2.使用专用的防火墙软件,如HP的瘦客户机中,就安装了sygate的防火墙软件

3.使用专有的OS,如Linux等

通过将准入控制策略在瘦客户机上忽略,用户在瘦客户机的选型上也有了更多的选择,而不再需要只限定使用Windows XP Embedded系统的瘦客户,这意味着更多的型号的设备和一些可能更安全的设备可以被使用(如WYSE WTOS本人认为是一款非常优秀的瘦客户机OS,轻巧,定制能力强,安全性也非常不错,最近在日本的一家银行中有被大量使用超过5万台)

 

~完