华为桌面云“域间关系失信”故障分析和处理方法

2019-06-22 07:01刘波杨世旺
视听 2019年5期
关键词:终端用户桌面账号

刘波 杨世旺

(广西广播电视技术中心)

一、引言

当今社会属于大数据时代,信息化脚步日新月异,各种云计算系统层出不穷,云计算系统的运维也逐渐成为信息化运维关注的重点,本文我们以华为桌面云为例,来了解一下“云”,并从实际运用中分析造成桌面云域间失信故障的原因和处理方法。

二、华为桌面云简介

华为桌面云是一种将计算机软、硬件资源整合并虚拟化后,向终端用户提供虚拟远程桌面的应用。终端用户使用瘦客户端或其他设备来访问虚拟桌面,基于HDP(Huawei Desktop protocol)私有协议建立访问通道,连接到自己的虚拟机上,进行常规的电脑办公操作。桌面云虚拟机的登陆界面如图1。

如图2中可以清楚了解到华为桌面云系统中大致分为四大层,硬件资源层,FusionCompute层,FusionAccess层,终端用户接入层,而对这些层次的运行管理都是通过统一资源管理平台FusionManager实现的。以下是各部分功能简述:

(一)FusionManager

FusionManager 是一个统一资源平台云管理使能器,具备强大的管理能力,可以对华为虚拟化和非华为虚拟化的产品,以及物理资源、桌面云、云存储和各种云服务进行统一管理。同时,可以对虚拟机进行快速发放和管理。

(二)硬件资源层

硬件资源层是指构成桌面云系统的硬件资源,如服务器、存储、交换机等。

(三)FusionCompute层

FusionCompute 是虚拟化引擎,将物理资源,包括服务器、存储设备、交换机等虚拟化为云资源池,以达到更合理的分配和利用IT资源的目的,同时FusionCompute还具备强大的物理设备兼容能力以保证不同云系统相互兼容。

(四)FusionAccess层

FusionAccess是华为虚拟化桌面管理系统,负责安全认证、安全协议、加密技术,保证终端用户的接入安全和桌面传输安全。

(五)终端用户接入层

终端用户接入层是指终端用户通过瘦终端、软终端等方式接入到桌面云系统中。

三、域间失信分析

域间信任关系失败故障发生后的体现,是在桌面云登录过程中输入域用户账号密码后,显示“此工作站和主域之间信任关系失败”,且桌面云设置的是单用户访问,不能通过其他域用户访问,导致信任失败后客户端本地账号无法激活,登录不上系统,如图3所示。

本次分析“此工作站和主域间的信任关系失败”就是发生在FusionAccess层,属于桌面登录认证故障,根本原因是由于客户端与AD(Active Directory以下简称AD)域控之间的安全通道(secure channel)损坏。发生掉域问题一般是因为有问题的客户端在本地的机器账号密码,与存储在AD域中的机器账号密码(以下简称机器码)不一致造成的。以下是对造成不一致最常见的几种情况的分析及应对措施:

(一)机器账号密码更新失败

默认情况下,为了保护桌面云系统安全性,微软AD域系统对计算机加入域需要校验计算机机器码(注意:此密码不是用户登录密码)。该密码是计算机加入域时自动创建的,不可手动修改,默认30天会自动修改一次。如果本地计算机在机器码自动更新之后人为控制回滚数据,使用原来的备份文件(保存了更新前的机器码信息)恢复VM,将会导致VM不被AD域认可而脱域,最终会导致用户无法登录桌面云。一般的规避原理是设法保证本地计算机机器码与AD域中的机器码一致。可采取的措施,一是在AD域配置中将用户计算机机器账户密码变更功能关闭;二是桌面应用场景中设置回滚数据仅对用户数据盘提供备份和恢复手段,对机器码不作处理。

(二)账号在AD域中被意外删除

在AD域中由于某些意外,如服务器误删等导致终端用户账号、密码被删除,使本地用户无法加入到AD域。此时可以通过检查AD域,查看有问题的桌面云账号是否存在,若不存在,再重新建用户账号并加入到相应工作组中即可,如图4。

(三)密码无法和Isa secret同步

ISA服务器是windows系统实现基于策略的网际访问控制、加速和管理的统一管理控制台。ISA客户端和服务器通过共享一个机密(secret)实现接入验证,ISA服务器只容许通过验证的终端用户访问特定的服务器特性,如AD域服务器。当某种原因导致计算机账户的密码无法和Isa secret同步时,终端用户通过计算机登录到域就会提示“此工作站和主域间的信任关系失败”。发生此类情况则需要重启administrator帐号进入系统,并重新将此计算机加入到相应域。

(四)机器账号有重复的SID(Security Identif安全标识符,以下简称SID)

SID是标识用户、组和计算机帐户的唯一的号码。在windows系统第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。如果发生创建的Windows虚拟机SID与已有的虚拟机相同,则会出现“此工作站和主域间的信任关系失败”,这常常是因为使用同一个镜像安装多台客户端引起的。在这种情况下,常规的退域再加域可能解决不了问题,需要重新配置Windows虚拟机的SID。为了确认是否由这个问题引起,我们常常需要运行以下命令导出domain partition对SID进行重复性检查。ldifde-f C:domain.txt-d"dc=domaindnsname" 。

四、建议与总结

随着信息化的发展,桌面云系统在各单位信息系统中已大量普及,有逐步取代传统办公电脑的趋势,因此对于桌面云域间失信这一常见故障,运维管理人员有必要熟练掌握。本文是作者在实际工作中总结的一些常见故障处理方法,有效解决桌面云登录过程中域间失信的问题,鉴于理论水平有限,如有不足之处欢迎指正。

猜你喜欢
终端用户桌面账号
彤彤的聊天账号
施诈计骗走游戏账号
基于APP在线控制双挤出头FDM桌面3D打印机的研制
桌面云技术在铁路行业中的应用
桌面装忙
蜂窝网络终端直通通信功率控制研究
组播环境下IPTV快速频道切换方法
Google Play游戏取消账号绑定没有Google账号也能玩
当灰尘厚厚地落满了桌面
辅助技术:终端用户与技术的桥梁