最近在某大型企業實施虛擬桌面專案,遇到了一些與安全與域管理相關的問題,分享給計畫或正在部署虛擬桌面的朋友們。
此使用者當前已經有超過40臺域控制器分布在全國範圍30餘個位置,每個站點根據規模及重要級別部署1-2臺域控制器來負責本地pc的域驗證工作,目前需要在全國範圍內部署7000個虛擬桌面供員工辦公和營業網點使用。
通過active directory站點和服務控制台可以看到如下的站點分布,客戶已經將整個集團的網路打通,通過子網/站點的方式進行統一的域管理。
使用者在資訊保安方面做得比較細緻,在部署活動目錄之初,就使用到了活動目錄中使用者登入到工作站選項來控制使用者登入計算機,雖然在一定程度上增加了域管理方面的工作量,但是使用者帳戶的安全性因為受限也因此得到了較高的保證。
另外,使用者也部署了nac(網路准入控制,通過windows 2008的nap來完成)來防止非企業受信的裝置接入到公司內網中,造成安全上的風險,因此如果接入的pc沒有加入並登入到使用者的域環境,將不能接入到公司的業務生產網路。
以往每個使用者只有一台pc機,因此在活動目錄的登入到工作站中只需要增加pc的名稱在列表中即可,如pc01
但是隨著桌面虛擬化的引入,每個使用者至少多了兩個作業系統例項(瘦客戶機和虛擬桌面),即需要登入到瘦客戶機(windows xp embedded系統,使用者使用了網路准入機制,必順要登入到域環境中才可以進行生產網路的訪問),同時虛擬桌面也必須加入域才能夠正常工作。因此域管理員將瘦客戶機和虛擬桌面的名稱都加入到了登入到工作站的列表中。
看起來大功告成,可以喝點茶休息一下了,結果登入view client時出錯:
使用者名稱密碼肯定沒有問題,唯一的改變就是之前做的登入工作站選項的問題,百思不得其解之際,想到因為認證都是由view connection server**,莫非登入到工作站處也需要將view connection server加入進去?
果不其然,之前的想法得到了印證,將view connection server加到登入工作站列表中之後,view client的報錯沒有再出現。
因為瘦客戶機分布在各個站點,這些瘦客戶機登入時自然會選擇就近的域控制器(這個是靠windows子網與站點策略來完成的),分公司的it人員做有對應的域管理員許可權,因些可以對所屬的使用者及組進行管理,如對重置使用者密碼,進行組策略設定等。
在桌面虛擬化的pilot(試執行)階段,嘗試多次登入登出虛擬桌面是很乙個比較常見的用例,結果乙個測試帳號因為多次輸入錯誤密碼被強制鎖定了(使用者的域帳戶策略設定了3次錯誤密碼後將鎖定帳戶),it管理員很配合,幫助我們進行了帳戶解鎖操作,但是發現在view client上,這個使用者帳戶一直登入不上去,顯示帳號鎖定,登入不成功。
登出瘦客戶機使用測試這個帳戶,登入沒有任何的問題,奇怪了,同乙個域,同乙個帳戶,為什麼會出現這個問題呢?
來回進行多次重複的測試,大概在5分鐘之後,在view client又可以登入了,奇怪,難道人品現在都這麼差了?
一不小心,已經是晚上8點多了,專案經理看大家都餓了,幫助叫了kfc的外賣,外賣不到,我等馬上停下手裡的活,補充能量去…
大家邊吃邊討論著這個問題,突然腦子裡有了靈感,瘦客戶機和虛擬桌面部署在不同的位置(客戶要求所有的虛擬桌面必須集中的放置在全國的數個資料中心中,而接入裝置而分布在全國各地),那麼意味道著他們對應的子網和站點也不可能同乙個,自然域控制器也不是同一臺了,果不其然,通過在命令列中執行set命令返回的結果印證了我的想法,瘦客戶機和虛擬桌面使用的域控制器相隔兩地,不在同乙個區域網中。
既然用的域控制器不是同一臺,域控與域控之間的資訊同步根據網路連線的情況,需要一些時間來同步也是自然,為了印證我的想法,it管理員將虛擬桌面所在的子網在「active directory站點和服務」控制台上從預設站點移動了瘦客戶機所在的站點上,重啟虛擬桌面和view connection server進行測試,並在域控制器上進行測試使用者重置密碼,設定使用者屬性等操作,基本做到了瘦客戶機和虛擬桌面的域帳戶狀態和使用者資訊的同步。
一直在說虛擬桌面將操作環境與執行環境進行了分離,這就是乙個再好不過的例子了,作為乙個虛擬化從業人員,犯這樣的低階錯誤實在是有些不應該。自我檢討10分鐘…
1.瘦客戶機要安裝准入控制的軟體客戶端
2.瘦客戶機要加入到域中,並使用域帳戶登入os
3.瘦客戶機上還需要安裝公司域控制器上自動推送的各種安全**程式、補丁,效能本身就不高的瘦客戶機有些吃不消
跟it經理來回的溝通,使用准入控制的原因和目的無非是為了保證接入裝置的安全,如果我們認為預設就認為瘦客戶機是可以信任的裝置(否則也不需要淘汰以往的pc,換上瘦客戶機了),那麼為什麼不可能對他們往開一面呢?it經理好像被我們的理由說服了,頻頻點頭之後認可了我們的方案,立即致電給瘦客戶機供貨商,要求他們提供所有瘦客戶機的mac位址資訊,並統一的匯入到准入控制軟體中,進行白名單處理。現在,這些瘦客戶機再也不用受准入控制的「嚴格盤查」了。
其實,瘦客戶機產品設計之初,就已經考慮並設定了安全,如:
1.ewf寫保護模式,重啟之後,所有的變更會全部刪除,類似以往的還原卡技術
2.使用專用的防火牆軟體,如hp的瘦客戶機中,就安裝了sygate的防火牆軟體
3.使用專有的os,如linux等
通過將准入控制策略在瘦客戶機上忽略,使用者在瘦客戶機的選型上也有了更多的選擇,而不再需要只限定使用windows xp embedded系統的瘦客戶,這意味著更多的型號的裝置和一些可能更安全的裝置可以被使用(如wyse wtos本人認為是一款非常優秀的瘦客戶機os,輕巧,定製能力強,安全性也非常不錯,最近在日本的一家銀行中有被大量使用超過5萬台)
~完
基於pcl qt的大規模點雲動態顯示的一些小心得
點雲視覺化,尤其大規模視覺化真是個折磨人的事。自然也是酸甜苦辣各種交加。今日就最近踩坑做乙個記錄,給後來人一些參考。點雲動態顯示需要解決的問題是,將點雲採集裝置高速採集的點雲實時顯示在介面中。需要實現的效果如圖所示,這片測試點雲還比較小,有256000個點 圖1之前我在最初調試點雲動態顯示時寫過一篇...
一些工具的部署
quickstart 版本 分布式部署版本 分布式部署指南 安裝與部署 安裝與部署 linux 單機linux windows 集群 linux windows zookeeper 官網 kafka 官網 安裝部署 elk 分別是 elasticsearch,logstash,kibana 安裝部署...
關於Marching Cube的一些疑惑思考
最近學習mc表面繪製,對於開始對於cg方面的一些知識不是很明白,搞的一頭霧水,於是就零零碎碎參考一些網上的程式來學習。主要參考的有3d med 的手冊,網上的一些程式,如 以及跟蹤vtk源 還有這個 但是在閱讀的時候產生的兩個疑惑,表示怎麼算出來的,看了書上的不是很明白,另乙個問題是得到的三角麵片怎...