華為桌面云“域間關(guān)系失信”故障分析和處理方法

劉波 楊世旺

（廣西廣播電視技術(shù)中心）

一、引言

當(dāng)今社會(huì)屬于大數(shù)據(jù)時(shí)代，信息化腳步日新月異，各種云計(jì)算系統(tǒng)層出不窮，云計(jì)算系統(tǒng)的運(yùn)維也逐漸成為信息化運(yùn)維關(guān)注的重點(diǎn)，本文我們以華為桌面云為例，來了解一下“云”，并從實(shí)際運(yùn)用中分析造成桌面云域間失信故障的原因和處理方法。

二、華為桌面云簡(jiǎn)介

華為桌面云是一種將計(jì)算機(jī)軟、硬件資源整合并虛擬化后，向終端用戶提供虛擬遠(yuǎn)程桌面的應(yīng)用。終端用戶使用瘦客戶端或其他設(shè)備來訪問虛擬桌面，基于HDP（Huawei Desktop protocol）私有協(xié)議建立訪問通道，連接到自己的虛擬機(jī)上，進(jìn)行常規(guī)的電腦辦公操作。桌面云虛擬機(jī)的登陸界面如圖1。

如圖2中可以清楚了解到華為桌面云系統(tǒng)中大致分為四大層，硬件資源層，F(xiàn)usionCompute層，F(xiàn)usionAccess層，終端用戶接入層，而對(duì)這些層次的運(yùn)行管理都是通過統(tǒng)一資源管理平臺(tái)FusionManager實(shí)現(xiàn)的。以下是各部分功能簡(jiǎn)述：

（一）FusionManager

FusionManager 是一個(gè)統(tǒng)一資源平臺(tái)云管理使能器，具備強(qiáng)大的管理能力，可以對(duì)華為虛擬化和非華為虛擬化的產(chǎn)品，以及物理資源、桌面云、云存儲(chǔ)和各種云服務(wù)進(jìn)行統(tǒng)一管理。同時(shí)，可以對(duì)虛擬機(jī)進(jìn)行快速發(fā)放和管理。

（二）硬件資源層

硬件資源層是指構(gòu)成桌面云系統(tǒng)的硬件資源，如服務(wù)器、存儲(chǔ)、交換機(jī)等。

（三）FusionCompute層

FusionCompute 是虛擬化引擎，將物理資源，包括服務(wù)器、存儲(chǔ)設(shè)備、交換機(jī)等虛擬化為云資源池，以達(dá)到更合理的分配和利用IT資源的目的，同時(shí)FusionCompute還具備強(qiáng)大的物理設(shè)備兼容能力以保證不同云系統(tǒng)相互兼容。

（四）FusionAccess層

FusionAccess是華為虛擬化桌面管理系統(tǒng)，負(fù)責(zé)安全認(rèn)證、安全協(xié)議、加密技術(shù)，保證終端用戶的接入安全和桌面?zhèn)鬏敯踩?/p>

（五）終端用戶接入層

終端用戶接入層是指終端用戶通過瘦終端、軟終端等方式接入到桌面云系統(tǒng)中。

三、域間失信分析

域間信任關(guān)系失敗故障發(fā)生后的體現(xiàn)，是在桌面云登錄過程中輸入域用戶賬號(hào)密碼后，顯示“此工作站和主域之間信任關(guān)系失敗”，且桌面云設(shè)置的是單用戶訪問，不能通過其他域用戶訪問，導(dǎo)致信任失敗后客戶端本地賬號(hào)無法激活，登錄不上系統(tǒng)，如圖3所示。

本次分析“此工作站和主域間的信任關(guān)系失敗”就是發(fā)生在FusionAccess層，屬于桌面登錄認(rèn)證故障，根本原因是由于客戶端與AD（Active Directory以下簡(jiǎn)稱AD）域控之間的安全通道（secure channel）損壞。發(fā)生掉域問題一般是因?yàn)橛袉栴}的客戶端在本地的機(jī)器賬號(hào)密碼，與存儲(chǔ)在AD域中的機(jī)器賬號(hào)密碼（以下簡(jiǎn)稱機(jī)器碼）不一致造成的。以下是對(duì)造成不一致最常見的幾種情況的分析及應(yīng)對(duì)措施：

（一）機(jī)器賬號(hào)密碼更新失敗

默認(rèn)情況下，為了保護(hù)桌面云系統(tǒng)安全性，微軟AD域系統(tǒng)對(duì)計(jì)算機(jī)加入域需要校驗(yàn)計(jì)算機(jī)機(jī)器碼（注意：此密碼不是用戶登錄密碼）。該密碼是計(jì)算機(jī)加入域時(shí)自動(dòng)創(chuàng)建的，不可手動(dòng)修改，默認(rèn)30天會(huì)自動(dòng)修改一次。如果本地計(jì)算機(jī)在機(jī)器碼自動(dòng)更新之后人為控制回滾數(shù)據(jù)，使用原來的備份文件（保存了更新前的機(jī)器碼信息）恢復(fù)VM，將會(huì)導(dǎo)致VM不被AD域認(rèn)可而脫域，最終會(huì)導(dǎo)致用戶無法登錄桌面云。一般的規(guī)避原理是設(shè)法保證本地計(jì)算機(jī)機(jī)器碼與AD域中的機(jī)器碼一致。可采取的措施，一是在AD域配置中將用戶計(jì)算機(jī)機(jī)器賬戶密碼變更功能關(guān)閉；二是桌面應(yīng)用場(chǎng)景中設(shè)置回滾數(shù)據(jù)僅對(duì)用戶數(shù)據(jù)盤提供備份和恢復(fù)手段，對(duì)機(jī)器碼不作處理。

（二）賬號(hào)在AD域中被意外刪除

在AD域中由于某些意外，如服務(wù)器誤刪等導(dǎo)致終端用戶賬號(hào)、密碼被刪除，使本地用戶無法加入到AD域。此時(shí)可以通過檢查AD域，查看有問題的桌面云賬號(hào)是否存在，若不存在，再重新建用戶賬號(hào)并加入到相應(yīng)工作組中即可，如圖4。

（三）密碼無法和Isa secret同步

ISA服務(wù)器是windows系統(tǒng)實(shí)現(xiàn)基于策略的網(wǎng)際訪問控制、加速和管理的統(tǒng)一管理控制臺(tái)。ISA客戶端和服務(wù)器通過共享一個(gè)機(jī)密（secret）實(shí)現(xiàn)接入驗(yàn)證，ISA服務(wù)器只容許通過驗(yàn)證的終端用戶訪問特定的服務(wù)器特性，如AD域服務(wù)器。當(dāng)某種原因?qū)е掠?jì)算機(jī)賬戶的密碼無法和Isa secret同步時(shí)，終端用戶通過計(jì)算機(jī)登錄到域就會(huì)提示“此工作站和主域間的信任關(guān)系失敗”。發(fā)生此類情況則需要重啟administrator帳號(hào)進(jìn)入系統(tǒng)，并重新將此計(jì)算機(jī)加入到相應(yīng)域。

（四）機(jī)器賬號(hào)有重復(fù)的SID（Security Identif安全標(biāo)識(shí)符，以下簡(jiǎn)稱SID）

SID是標(biāo)識(shí)用戶、組和計(jì)算機(jī)帳戶的唯一的號(hào)碼。在windows系統(tǒng)第一次創(chuàng)建該帳戶時(shí)，將給網(wǎng)絡(luò)上的每一個(gè)帳戶發(fā)布一個(gè)唯一的 SID。如果發(fā)生創(chuàng)建的Windows虛擬機(jī)SID與已有的虛擬機(jī)相同，則會(huì)出現(xiàn)“此工作站和主域間的信任關(guān)系失敗”，這常常是因?yàn)槭褂猛粋€(gè)鏡像安裝多臺(tái)客戶端引起的。在這種情況下，常規(guī)的退域再加域可能解決不了問題，需要重新配置Windows虛擬機(jī)的SID。為了確認(rèn)是否由這個(gè)問題引起，我們常常需要運(yùn)行以下命令導(dǎo)出domain partition對(duì)SID進(jìn)行重復(fù)性檢查。ldifde-f C：domain.txt-d"dc=domaindnsname" 。

四、建議與總結(jié)

隨著信息化的發(fā)展，桌面云系統(tǒng)在各單位信息系統(tǒng)中已大量普及，有逐步取代傳統(tǒng)辦公電腦的趨勢(shì)，因此對(duì)于桌面云域間失信這一常見故障，運(yùn)維管理人員有必要熟練掌握。本文是作者在實(shí)際工作中總結(jié)的一些常見故障處理方法，有效解決桌面云登錄過程中域間失信的問題，鑒于理論水平有限，如有不足之處歡迎指正。