云终端系统实施方案.doc

云终端系统实施方案云终端系统实施方案目 录1.概述81.1.项目背景81.2.需求分析92.实施综述102.1.实施组织架构112.2.责任明晰122.3.架构设计概述132.3.1面向现阶段的云终端部署架构142.3.2面向未来扩容的云终端部署架构153.基础架构设计173.1.服务器虚拟化173.1.1.虚拟服务器183.1.2.用户虚拟机213.2.桌面虚拟化243.2.1.云终端交付类型选择243.2.2.桌面虚拟化策略253.3.活动目录273.3.1.终端用户身份认证273.3.2.系统管理员273.3.3.组策略283.3.4.域名系统313.3.5.动态主机设置协议333.4.数据库363.4.1.概述363.4.2.主要决策373.4.3.设计393.5.访问站点393.6.许可管理433.6.1.描述433.6.2.主要决策443.6.3.设计453.7.XX公司安全规则453.7.1.NTP网络时间服务453.7.2.服务器监控453.7.3.防火墙规则463.7.4.桌面级杀毒软件463.7.5.操作系统补丁更新463.8.行为审计473.8.1.组件概述473.8.2.主要的优势473.8.3.主要功能483.8.4.主要决策484.网络494.1.网络设计494.1.1.TCP端口494.1.2.云终端系统网络拓扑494.1.3.IP地址总览及主机网络VLAN配置504.1.4.云终端IP地址分配明细514.2.HTTP负载均衡554.2.1.概述554.2.2.NLB 配置564.2.3.主要决策594.2.4.设计605.服务器605.1.服务器网络接口配置605.2.服务器品牌、型号616.存储626.1.统一存储：FC SAN方式626.1.1.存储需求636.1.2.LUN规划646.2.统一存储：NAS方式666.2.1.存储需求666.2.2.CIFS方式交付规划666.3.云硬盘676.3.1.组件描述676.3.2.主要的优势676.3.3.主要功能686.3.4.主要决策686.3.5.设计687.云终端设计707.1.用户组织707.2.用户权限727.3.云终端接入方式及客户端设备737.4.应用软件列表及安装方式747.4.1.概述747.4.2.应用列表及安装方式747.5.打印机架构797.5.1.描述797.5.2.主要决策807.5.3.设计808.实施进度819.资源需求清单829.1.系统软件829.2.硬件设备849.3.应用软件861. 概述1.1. 项目背景当前，随着云计算、物联网、3G等新技术的崛起，国家部委正面临旧信息化模式的结束，信息化已逐渐成为部委核心竞争力的重要支撑，技术推动的信息化革命正在走向现实。“十二五”期间，信息化能力建设将成为企业信息化建设中心内容。国家大力推进信息化与工业化深度融合，走中国特色新型工业化道路，促进经济发展方式转变和工业转型升级。需要以创新发展、绿色发展、智能发展、协调发展为原则，显著增强公司业务流程优化再造和产业链协同能力，实现公司信息系统综合集成应用，大幅度提升研发设计创新能力、生产集约化和管理现代化水平，并进一步推动生产装备智能化和生产过程自动化，在信息化与工业化深度融合中取得重大突破。XX为深入推进“两个转变”，实现“一强三优”现代公司的战略目标，提出了建设坚强智能电网和三集五大体系的重大举措，这就要求信息、通信进一步全面提升，再上水平。目前几乎所有政府机构都已经或正在把信息化作为提高企业核心竞争力的关键发展的战略之一。在规划和提升信息化能力建设的过程中，普遍都认为对于自己所在企业的信息化，感到存在一定程度的失控。如何通过提升信息化运行效率使XX的信息化应用有一个质的飞跃、如何提高IT对业务创新的支持以及如何实现对XX的精细化管理等问题是信息化部门在未来的信息化建设发展过程中不可回避的问题。虚拟化应用技术的出现，为我们解决上述问题提明方向和提供一套切实可行的解决方案。1.2. 需求分析XXX有限公司（以后简称XX公司）作为云终端系统的试点单位，经过前期现场调研，总结需求如下：场景1：项目研发机，主要用户群体为公司研发项目组以及有研发需求的办公部门，主要用于系统研发以及绘制各种工程图等高性能工作，桌面运维由个人负责。场景2：日常办公机，主要用户群体是XX公司在职员工，主要用于内网办公，用户个性化安装不同的业务软件，数据信息保存在本地磁盘，PC机软硬件维护工作繁琐。需求分析：通过调研到的需求了解到，XX公司希望通过云终端系统解决信息安全方面和系统运维方面的问题，云终端系统按照“集中计算，分布显示”的架构，前端采用瘦客户机，通过虚拟化技术，将所有办公PC的运算、内存、存储资源整合为一体，具有高效、绿色等特点，为解决上述问题提供一套切实可行的解决方案。和传统模式相比，云终端系统具有如下优势：1. 提升内网办公的信息安全；2. 维护工作简单，所需成本低；3. 节省网络带宽消耗；1020k4. 瘦客户端比传统PC相比更稳定、更省电；5. 可以统一管理桌面，发布统一管理策略；6. 加快用户交付，缩短响应时间。l 人员规模：目前的2个场景，其项目研发机30个，日常办公机70个，总计100个虚拟桌面的规模.l 办公地点：办公人员工作地点在XX公司总部（XX）40用户,检修分公司30用户，十三陵10用户，外埠用户20用户； l 带宽：XX公司总部用户目前是155Mb带宽到现有桌面，检修分公司是80Mb/32Mb（OSPF）带宽到现有桌面；l 系统部署位置：虚拟系统将部署在XXX容灾中心；l 桌面：通过调研了解到XX公司所有桌面操作系统为Windows XP SP3，云终端系统提供的云终端将部分延续现有规则。场景1：由于项目组用户为开发用户，需要对获得的桌面有完全控制权限，需要对系统有编译的功能，所以我们采用专用模式发布虚拟桌面，用户和虚拟桌面一一对应,并赋予用户管理员权限；场景2：普通办公用户对资源使用率较小，主要用于日常办公，不需要安装软件，考虑到推行桌面标准化，决定采用MCS Pool模式发发布虚拟桌面，用户和虚拟桌面一一对应,并赋予用户普通权限；l 主机：X公司提供服务器性能需求，根据集采列表选择服务器类型，作为服务器选型依据；l 存储：用X公司提供存储的容量和性能需求，根据集采列表选择存储类型，作为存储选型依据。l 负载均衡：XX公司没有提供负载均衡设备，采用Windows Server 2008 R2 Network Load balancing做负载均衡；但考虑到今后系统双因素认证和对关键服务器的关键服务负载均衡的需求，建议新采购NetScaler MPX设备做负载均衡。2. 实施综述本次项目实施将由X和XX公司共同组成专职项目组，全权负责项目的实施、上线和运维交付。2.1. 实施组织架构l 项目经理：作为项目的发起人和管控者，建议由客户指派，由项目所属部门的领导担纲；l 项目主管：为X指派的项目管理者，主要负责项目技术、时间、客户需求、系统资源等方面的协调和管理工作，项目实施和交付过程中的主要负责人。每周需要将项目的进展、困难和风险情况以周报或周例会的形式向项目经理、项目接口人及客户其他相关领导进行汇报；l 项目接口人：负责系统实施过程中的资源协调工作，包含与客户IT部门的沟通和资源协调，所以建议由客户指派。项目接口人需要负责就网络、存储、主机、安全、客户端、桌面、用户等方面与客户IT各部门和最终用户进行接口；l 实施工程师：负责按照设计文档和时间要求，按时按量的完成具体系统的搭建、交付和培训任务；l 各模块接口人：为客户IT部门中各模块的接口或负责人，包含但不限于网络、存储、主机、安全、客户端、桌面等方面，各模块接口人有责任为系统提供足够的资源，为系统的成功交付提供有利的支持。参与本项目实施的人员： 2.2. 责任明晰项目分工： 序号工作内容XXX公司1调研和评估负责配合2第3方软硬件设备采购负责配合3系统架构设计和评估负责确认4技术验证提供所需软件（操作系统、应用软件）配合负责提供所需的硬件负责确认提供所需的网络资源配合负责搭建验证系统负责配合验证结果评估配合负责5构建虚拟桌面制定虚拟桌面标准配合负责安装操作系统和基础应用配合负责桌面生成和验证负责配合验证评估配合负责6搭建上线系统方案制定负责配合提供所需软件（操作系统、应用软件）配合负责提供所需的硬件负责确认提供所需的网络资源配合负责搭建系统并试用负责配合问题发现和系统完善负责配合验收评估配合负责2.3. 架构设计概述为XXX有限公司计的云终端系统环境架构采用了XenServer和云终端系统提供的先进服务器和桌面虚拟化技术。此外还将利用Windows Server 2008 R2 Network Load Balancing来为云终端系统基础架构提供网络负载均衡功能。..2.3.1 面向现阶段的云终端部署架构下图显示了面向开XX公司用户规划的云终端系统环境：...3.1.1. 架构说明云终端系统各组件：l 访问站点：访问站点组件可以创建Web站点和Services站点，提供用户登陆虚拟桌面的入口，用户可以通过Web浏览器或Reciever客户端访问系统资源。l 许可证服务器：用于存储和管理许可证，用户在连接云终端系统服务器时需要从许可证服务器获取许可。l 云终端控制器：云终端控制器负责对用户进行身份验证、创建和管理虚拟桌面环境的桌面组，以及代理用户及其虚拟桌面之间的连接；同时，桌面交付控制器虚拟桌面的创建与发布，监控虚拟桌面的状态，根据需要和管理配置启动和停止虚拟桌面。l AD：提供用户身份认证。l SQL数据库服务器：在云终端系统环境中，所有信息都存储在SQL数据库中，控制器只与数据库进行通信。SQL数据库服务器是云终端系统 云终端系统、云终端系统 软件发布环境中最重要的基础架构组件之一。Data Store为集群中的成员服务器提供了一个参考用的不间断服务器集群信息存储库。Data Store中保存有环境中长期存在的各种信息，包括发布的应用规格、服务器数据、管理员帐户和打印机配置等。服务器虚拟化：服务器虚拟化采用XenServer版本6.1，除SQL数据库服务器之外，其它物理服务器都将安装XenServer，并组成一个资源池。所以基础架构服务器和虚拟桌面以虚拟机的方式存在。共享存储：架构中采用FC SAN和NAS作为XenServer资源池的共享存储，FC SAN用于存储于虚拟机的磁盘镜像，已达到当有物理服务器宕机时，虚拟机还可以通过动态迁移动态迁移到其他物理服务器上（即XenServer的HA功能），采用FC SAN存储也可增加虚拟机的IOPS性能。NAS用于存储用户的配置文件和一些公共共享文件，采用NAS的目的一是增加用户读写的IOPS性能；二是提供用户自有数据的高可靠性；三是相比较于文件服务器，NAS存储易于扩容，为今后的系统扩容提供条件。2.3.2 面向未来扩容的云终端部署架构下图显示了面向XX公司用户规划的云终端系统未来扩容环境：....2.1. 架构说明将来，为了支持更多项目组和向市级单位推广，需要添加新的硬件和虚拟桌面的投入。X建议将来按以下方式对系统进行增强：l 添加2台NetScaler硬件设备（MPX7500）。将用于实现访问站点和Desktop Collector负载均衡，以替换Windows Server 2008 R2 Network Load Balancing。理由是：NetScaler不止对访问站点的Http访问请求进行负载均衡，还可以对云终端系统核心组件云终端控制器的XML Broker做负载均衡。这样从根本上避免单台云终端控制器的XML Broker宕机时，用户无登录，或登录之后无法正常得到桌面的问题。l 随着用户数量的增长，系统今后的扩容建议进行横向扩容，即：在XenServer的资源池中新增物理服务器的方式。理由：目前服务器的CPU已经满配，开发用户相比较于其他场景用户对CPU的消耗很大，要求很高，所以CPU会成为服务器的瓶颈。在CPU不增加的情况下，纵向扩容内存，可能会导致桌面用户体验下降，虚拟桌面响应变慢。3. 基础架构设计3.1. 服务器虚拟化云终端系统 XenServer是一种全面的企业级虚拟化系统，用于实现虚拟数据中心的集成、管理和自动化。一整套服务器虚拟化工具可在整个数据中心内实现成本节约、更高的数据中心灵活性和可靠性可为您的企业提供高性能支持。此外，多种新特性使您可以有效管理虚拟网络，将所有虚拟机连接在一起,并为各应用用户分配虚拟机管理接入权限。服务器虚拟化决策：决策点设计决策说明虚拟化基础架构提供商云终端系统云终端系统 XenServer将作为XX公司的虚拟基础架构提供商XenServer版本6.1该版本于2010年5月28日发布，为设计阶段时的最稳定版本。补丁XenServer资源池数量1初始阶段将部署一个资源池，用于容纳服务器型基础架构和容纳100个虚拟桌面。资源池名称由XXX有限公司决策。资源池物理位置XXX容灾中心部署于XXX容灾中心机房。资源池物理服务器数量1+4注意：每XenServer支持的虚拟桌面实际数量可能会因虚拟桌面的负载不同而异。NIC Bonding2 x 1Gbps bond 0用于管理网络。2 x 1Gbps bond 1用于虚拟桌面网络。2 x 1Gbps bond 2用于虚拟桌面网络。NTP IP AddressXX公司目前没有NTP服务器。存储服务器本地存储：2 x 300GB SAS对于每个XenServer主机，本地SAS驱动器将配置为RAID1镜像集并用于XenServer启动存储。共享存储：FC SANSAN FC存储将配置于池级别用于虚拟盘（服务器型基础架构和虚拟桌面）。Active Directory 域服务 (AD DS)集成确定命名规则后给出资源池将加入域并且按角色进行管理。XenServer主机名称确定命名规则后给出由XX公司决策。..3.1.1. 虚拟服务器. 操作系统和配置下表列出了在部署100个用户的云终端系统生产环境中安装虚拟服务器的设计决策。决策点虚拟服务器数量每虚拟服务器CPU数量每虚拟服务器内存大小每虚拟服务器存储占用（系统盘）每虚拟服务器存储占用（数据盘）AD Domain224GBC:50GBE:30GB云终端控制器组件248GBC:50GB访问站点 (NLB)224GBC:50GB授权服务器 (CTX)124GBC:50GB文件服务器(using Local Storage)124GBC:50GBE:100GB云终端行为安全审计系统 Server124GBC:50GBSQL Server for 云终端行为安全审计系统148GBC:50GBE:500GB. 虚拟机分布l 分布原则：基础架构服务器分布在XenServer1（32G）和XenServer2（32G）上虚拟机（虚拟服务器/虚拟桌面）物理服务器每虚拟机CPU每虚拟机内存 （GB）是否高负载Primary AD Domain基础架构服务器XenServer 124是访问站点 Load Balance 1 (NLB)基础架构服务器XenServer 124是云终端控制器 Master基础架构服务器XenServer 148是行为审计 Server基础架构服务器XenServer 124是授权服务器基础架构服务器XenServer 124是总计 5基础架构服务器XenServer 11224Secondary AD Domain基础架构服务器XenServer 224是访问站点 Load Balance 2 (NLB)基础架构服务器XenServer 224是云终端控制器 Backup基础架构服务器XenServer 248是SQL Server for 行为审计基础架构服务器XenServer 248是文件服务器基础架构服务器XenServer 224是总计 5基础架构服务器XenServer 214283.1.2. 用户虚拟机. 操作系统和配置根据对XX公司的调研情况，主要决策如下。模板配置：专用模式用户模板：决策点设计决策说明名称DedicatedDesktopTemplate这是即将部署的桌面模板。虚拟磁盘大小C:30GB这是预估的初始大小。大小将根据部署、测试阶段的需要进行适当变更。D盘采用云硬盘根据用户实际占用空间大小进行分配。D:0-50GB操作系统Windows XP Pro SP3 32-bit供最终用户使用的最新标准操作系统。安装应用标准应用由项目组选择应用安装于项目组桌面模板或桌面发布后用户自行安装。管理者云终端系统管理员负责管理云终端系统环境的管理员。池模式用户模板：决策点设计决策说明名称PoolDesktopTemplate这是即将部署的桌面模板。虚拟磁盘大小C:30GB这是预估的初始大小。大小将根据部署、测试阶段的需要进行适当变更。D盘采用云硬盘根据用户实际占用空间大小进行分配。操作系统Windows XP Pro SP3 32-bit供最终用户使用的最新标准操作系统。安装应用标准应用由项目组选择应用安装于项目组桌面模板或桌面发布后用户自行安装。管理者云终端系统管理员负责管理云终端系统环境的管理员。具体配置：专用模式用户虚拟桌面：决策点设计决策说明虚拟桌面组XX公司用户桌面组初始部署阶段生产环境将部署8个桌面组Virtual CPU2 CPU标准桌面环境。Virtual RAM2 GB标准桌面环境。Virtual Disk动态分配视各部门不同需求而定。操作系统Windows XP Pro SP3 32-bit标准桌面环境。池模式用户虚拟桌面：决策点设计决策说明虚拟桌面组XX公司用户桌面组初始部署阶段生产环境将部署8桌面组Virtual CPU2 CPU标准共享桌面环境。Virtual RAM1-2 GB标准共享桌面环境。Virtual Disk动态分配视各部门或项目组不同需求而定。操作系统Windows XP Pro SP3 32-bit标准共享桌面环境。. 虚拟机分布l 占总用户数30%（30个）的高负载（专用）虚拟桌面平均分布在XenServer3-XenServer5l 占总用户数70%（70个）的普通办公（池）虚拟桌面平均分布在XenServer3-XenServer5虚拟机（虚拟服务器/虚拟桌面）物理服务器每虚拟机CPU每虚拟机内存 （GB）是否高负载高负载虚拟桌面01高负载虚拟桌面15桌面支撑XenServer 323是普通办公虚拟桌面01普通办公虚拟桌面35桌面支撑XenServer 322否总计 50桌面支撑XenServer 3100115高负载虚拟桌面16高负载虚拟桌面30桌面支撑XenServer 423是普通办公虚拟桌面36普通办公虚拟桌面70桌面支撑XenServer 422否总计50桌面支撑XenServer 4100115桌面支撑XenServer 5-3.2. 桌面虚拟化3.2.1. 云终端交付类型选择由于用户分为2种应用场景，根据需求选择合适的桌面类型。场景1：由于项目组用户需要对虚拟桌面有完全控制权限（计算机管理员），并且所做的操作和设定需要永久保存，所以推荐专用桌面。专用桌面提供分配给单个用户的桌面。 计算机可以手动或自动分配给第一个与其建立连接的用户。 每当用户请求桌面时，他们始终会连接到同一个计算机，这样用户就可以根据需要对自己的桌面进行个性化设置。 专用桌面是在用户首次登录时基于主 VM 而创建的，但对桌面进行的所有后续更改都是永久性的更改。 如同传统的本地桌面一样，更改和更新都是永久性的，必须分别管理，或者统一使用第三方电子软件分发 (ESD) 工具进行管理。 对桌面所做的更改存储在可根据需要扩展的差异磁盘中，因此只有在需要时才会占用存储空间。场景2：普通办公用户对资源使用率较小，考虑到成本、用户规模以及用户的工作环境，决定用池模式发布 普通办公用户桌面。池计算机提供依照“先到先用”的原则按会话分配给用户的桌面。 池随机计算机可以在每次用户登录时随机分配给用户，然后在用户注销时返回池中。 返回池中的计算机可供其他用户连接。3.2.2. 桌面虚拟化策略根据总部试用结果和X安全要求，暂确定策略设置如下：决策点设计决策说明侦听器端口号1494此设置指定服务器上 ICA 协议使用的 TCP/IP 端口号。客户端剪贴板重定向禁止设置允许或阻止将用户设备上的剪贴板映射到服务器上的剪贴板。客户端自动重新连接默认此设置允许或阻止同一客户端在连接中断后自动重新连接。 默认情况下，允许自动重新连接。客户端软盘驱动器重定向禁止此设置允许或禁止用户访问文件或将文件保存到用户设备上的软盘驱动器。客户端光盘驱动器重定向允许此设置允许或禁止用户访问文件或将文件保存到用户设备上的 CD-ROM、DVD-ROM 和 BD-ROM 驱动器。客户端固定驱动器重定向禁止此设置允许或禁止用户访问文件或将文件保存到用户设备上的固定驱动器。客户端网络驱动器重定向允许此设置允许或禁止用户通过用户设备访问文件或将文件保存到网络（远程）驱动器。客户端可移动驱动器重定向允许此设置允许或禁止用户访问文件或将文件保存到用户设备上的 USB 驱动器。Flash 加速禁止此设置允许或禁止 Flash 内容在用户设备上而非在服务器端呈现。客户端打印机重定向允许此设置允许或阻止用户登录到会话时将客户端打印机映射到服务器。等待创建打印机(桌面)禁止此设置允许或阻止连接到会话时发生延迟，此延迟便于自动创建桌面打印机。自动创建客户端打印机允许此设置指定自动创建的客户端打印机。 此设置可覆盖默认的客户端打印机自动创建设置。会话可靠性连接允许此设置允许或阻止会话在失去网络连接期间保持打开状态。会话可靠性端口号2598此设置为传入会话可靠性连接指定 TCP 端口号。客户端 USB 设备重定向允许此设置启用或禁用与客户端之间的双向 USB 设备重定向（仅限工作站主机）。3.3. 活动目录Microsoft Active Directory 服务是Windows 系统的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。另外，云终端系统环境必须要有Microsoft Active Directory的支持。3.3.1. 终端用户身份认证安全性通过登录身份验证以及目录对象的访问控制集成在Active Directory之中。通过单点网络登录，管理员可以管理分散在网络各处的目录数据和组织单位，经过授权的网络用户可以访问网络任意位置的资源。基于策略的管理则简化了网络的管理，即便是那些最复杂的网络也是如此。 Active Directory通过对象访问控制列表以及用户凭据保护其存储的用户帐户和组信息。因为Active Directory不但可以保存用户凭据，而且可以保存访问控制信息，所以登录到网络上的用户既能够获得身份验证，也可以获得访问系统资源所需的权限3.3.2. 系统管理员组织单位用户组名Users说明CtxManageCTX_adminCtxadminCTX组织单位的管理员。Ctxdadmin云终端系统管理员，SQL Server管理员。CTX_usersCtxpooladminXenServer池管理员。（等于root用户）CtxpooluserXenServer池操作员。（无法修改池配置）CtxvmpadminXenServer虚拟机超级管理员。（仅限对虚拟机的全部操作）CtxvmadminXenServer虚拟机管理员。（允许虚拟机创建删除）CtxvmuserXenServer虚拟机操作员。（允许虚拟机开关机操作）CtxvmreadonlyXenServer只读用户。（XenServer只读）Ctxduser云终端系统只读用户。（云终端系统组件只读）3.3.3. 组策略组策略（Group Policy）是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过组策略可以管理设置各种Windows系统、软件、计算机和用户策略。. 文件夹重定向.1. 描述用户设置和用户文件通常存储在位于“用户”文件夹下的本地用户配置文件中。本地用户配置文件中的文件只能从当前计算机进行访问，这样一来，使用多台计算机的用户就很难在多台计算机之间处理其数据并同步设置。现有两种技术来解决该问题：漫游配置文件和文件夹重定向。这两种技术都有其各自的优点，可以单独使用，也可以结合起来使用创建一种从一台计算机到另一台计算机的无缝用户体验。另外，它们还为管理用户数据的管理员提供了其他选项。“文件夹重定向”允许管理员将文件夹的路径重定向到新位置。该位置可以是本地计算机上的一个文件夹，也可以是网络文件共享上的目录。用户可以使用服务器上的文档，如同该文档就在本地驱动器上一样。网络上任何计算机的用户都可使用该文件夹中的文档。使用组策略管理控制台 (GPMC) 编辑基于域的组策略时，文件夹重定向位于控制台树中的“Windows 设置”下。路径为“组策略对象名称用户配置策略Windows 设置文件夹重定向”。可以使用 GPMC 重定向的文件夹：Windows7 和 WindowsVista 中的文件夹早期 Windows 操作系统中的相应文件夹AppData/RoamingApplication Data联系人不适用桌面桌面文档我的文档下载不适用收藏夹不适用链接不适用音乐不适用图片图片收藏保存的游戏不适用搜索不适用开始菜单开始菜单视频不适用文件夹重定向的优势：l 即使用户登录到网络上的不同计算机，其数据也始终是可用的。l 脱机文件技术（默认情况下处于打开状态）允许用户访问文件夹，即使他们没有连接到网络。对于使用便携式计算机的人来说，该技术尤其有用。l 存储在网络文件夹中的数据可以作为例行系统管理的一部分进行备份。这样更安全，因为它不需要用户进行操作。l 如果您使用漫游用户配置文件，则可以使用文件夹重定向功能减小漫游配置文件的总大小，并使最终用户的用户登录和注销过程效率更高。在使用漫游用户配置文件部署文件夹重定向时，通过文件夹重定向同步的数据不是漫游配置文件的一部分，这些数据是在用户登录后使用脱机文件在后台进行同步的。因此，在使用漫游用户配置文件的情况下，用户在登录或注销时不必等待数据同步。l 特定于某个用户的数据可以从拥有操作系统文件的硬盘重定向到用户本地计算机上的其他硬盘。这会让用户的数据更加安全，以防必须重新安装操作系统的情况。l 作为管理员，您可以使用组策略来设置磁盘配额，从而限制由用户配置文件文件夹占用的空间量。.2. 主要决策决策点设计决策说明Application Data启用虚拟桌面使用Windows XP Pro SP3 32-bit操作系统。桌面启用重定向桌面文件夹，保护用户桌面文件夹内数据。我的文档启用重定向我的文档文件夹，保护用户我的文档文件夹内数据。管理员Administrator域管理员.3. 设计为了维护初始部署的研发用户个性化信息，登录虚拟桌面的用户将配置文件夹重定向。文件夹重定向作为用户数据盘D盘的一个有效补充。当虚拟桌面操作系统崩溃，重定向和数据盘的数据依然存在。. 其它基本组策略选项设置其它基本组策略选项将根据客户需求进行相关设置，届时将更新实施文档相关内容。决策点设计决策说明计算机名称禁止用户修改防止用户修改破坏系统正常运行。IP地址禁止用户修改防止用户修改破坏系统正常运行。IE主页设定XX内网门户网站。3.3.4. 域名系统.....3.1.1 描述Windows AD域控提供DNS服务，在AD域控范围内所有服务器访问将使用FQDN，系统服务器之间、桌面和服务器之间也是通过FQDN通信，接收AD域控管理。DNS负载FQDN与服务器IP的解析。域名系统 (DNS) 是用于命名计算机和网络服务的系统，该系统将这些计算机和网络服务组织到域的层次结构中。DNS 命名用于 TCP/IP 网络（如 Internet），以借助友好名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与此名称相关的其他信息，如 IP 地址。Windows Server 2008 R2中的 DNS 服务器角色既能支持标准 DNS 协议，同时又具备可与 Active Directory 域服务 (AD DS) 及其他 Windows 联网和安全功能（这些安全功能包括诸如 DNS 资源记录安全动态更新等高级功能）集成的优点。 主要决策决策点设计决策说明版本Windows Server 2008 R2 Enterprise Edition将被指定为环境内所有服务器的标准操作系统。服务器数量2基于冗余性考虑，初始阶段将部署两台DNS。将来可以根据需要添加其他DNS服务器以支持业务增长。Active Directory 域服务 (ADDS)集成是使用Active Directory 域服务 (ADDS)集成DNS。转发器启动配置为XX公司数据中心权威 DNS 。条件转发器不需要XX公司无特殊要求。反向查找区域启动创建反向查找区域，使用户可将IP地址解析为域名。配置 DNS 区域的复制范围自动Active Directory 域服务中的 DNS 区域间自动传送。DNS 应用程序目录分区不需要XX公司无特殊要求。更新根提示不需要XX公司无特殊要求。管理员Administrator域管理员 设计创建DNS服务器，为XX公司云办公系统内的物理服务器、虚拟服务器、虚拟桌面和瘦客户端等设备提供域名解析服务。转发数据中心内的解析请求至XX公司数据中心权威DNS，保证业务系统的正常使用。3.3.5. 动态主机设置协议. 描述虚拟桌面虚拟机将建议使用DHCP动态分配IP。这样能够大大减轻运维的工作量。桌面创建时，不需要管理员再一一的手工分配IP。当您在网络上部署动态主机配置协议 (DHCP) 服务器时，可以自动向客户端计算机和其他基于 TCP/IP 的网络设备提供有效的 IP 地址。您还可以提供这些客户端和设备所需的额外的配置参数（称为 DHCP 选项），以允许它们连接到其他网络资源（例如 DNS 服务器、WINS 服务器和路由器）。DHCP 是一种客户端服务器技术，它允许 DHCP 服务器将 IP 地址分配给作为 DHCP 客户端启用的计算机和其他设备，也允许服务器租用 IP 地址。使用 DHCP，可以进行如下操作：l 在特定的时间内将 IP 地址租用给 DHCP 客户端，然后当客户端请求续订时自动续订 IP 地址。l 通过更改 DHCP 服务器处的服务器或作用域选项而不是在所有 DHCP 客户端上分别执行此操作，来更新 DHCP 客户端参数。l 为特定的计算机或其他设备保留 IP 地址，以便它们总是具有相同的 IP 地址，同时还接收最新的 DHCP 选项。l 从 DHCP 服务器分发中排除 IP 地址或地址范围，以便能够使用这些 IP 地址和范围对服务器、路由器和其他需要静态 IP 地址的设备进行静态配置。l 为众多子网提供 DHCP 服务（如果 DHCP 服务器和需要提供服务的子网之间的所有路由器都被配置成转发 DHCP 消息）。l 配置 DHCP 服务器以便为 DHCP 客户端执行 DNS 名称注册服务。l 为基于 IP 的 DHCP 客户端提供多播地址分配。. 主要决策决策点设计决策说明版本Windows Server 2008 R2 Enterprise Edition将被指定为环境内所有服务器的标准操作系统。服务器数量2基于冗余性考虑，初始阶段将部署两台DHCP。将来可以根据需要添加其他DHCP服务器以支持业务增长。作用域数量2某用户和外埠用户各使用1个作用域。超级作用域启用在相同子网上使用多个 DHCP 服务器时避免发生问题，使用一个在所有服务器上配置相似的新的超级作用域。保留启用虚拟桌面在从DHCP获得IP地址后，在DHCP服务器上对其做保留，便于IT管理。中继代理不需要路由器必须能够中继 BOOTP 和 DHCP 通讯。管理员Administrator域管理员. 设计为方便虚拟桌面获取IP地址，部署两个 DHCP 服务器，它自动将 IP 地址租约分配到网络上的所有虚拟桌面。使用客户端保留来确保 DHCP 虚拟桌面在启动时始终接收相同的 IP 地址租用。因为保留的客户端可到达多个 DHCP 服务器，在每个 DHCP 服务器上添加这样的保留。这种做法允许其他 DHCP 服务器遵循为保留的虚拟桌面所做的虚拟桌面 IP 地址保留。尽管当保留的地址属于可用地址池的一部分时，DHCP 服务器将作用于虚拟桌面保留，但在多个服务器上对于相同的虚拟桌面具有相同的保留通常不会造成任何问题。3.4. 数据库本章介绍云终端系统 Data Store数据库，定义了数据库类型、管理、冗余和备份等因素。3.4.1. 概述云终端系统 Data Store是云终端系统 云终端系统环境中最重要的基础架构组件之一，这是因为它对服务器集群的运行稳定性和可扩展性有着很大影响。Data Store为集群中的成员服务器提供了一个可用的不间断服务器集群信息存储库。云终端系统 Data Store中保存有环境中长期存在的各种信息，包括发布的应用规格、服务器数据、管理员帐户和打印机配置等。在云终端系统 Data Store无法接入时，就无法通过Desktop Controller管理控制台和远程维护控制台进行管理；管理员需做出相应配置后用户才可以接入服务器集群。或者，Data Store流量也可以通过IMA Encryption进行有效保护。SQL Server 故障转移群集实例的优点当服务器上出现硬件或软件故障时，连接到该服务器的应用程序或客户端将会停机。 在将 SQL Server 实例配置为 FCI（而非独立实例）时，该 SQL Server 实例的高可用性受到 FCI 中提供的冗余节点的保护。 在 FCI 中，一次只能有一个节点拥有 WSFC 资源组。 在出现故障（硬件故障、操作系统故障、应用程序或服务故障）或进行计划的升级时，该资源组的所有权就会转移至另一个 WSFC 节点。 此过程对于连接到 SQL Server 的客户端或应用程序是透明的，可以最大限度地缩短出现故障时应用程序或客户端的停机时间。 以下列出了 SQL Server 故障转移群集实例提供的一些主要优点：l 通过冗余提供实例级的保护。l 在出现故障（硬件故障、操作系统故障、应用程序或服务故障）时自动进行故障转移。l 支持多种存储解决方案，包括 WSFC 群集磁盘（iSCSI、光纤信道等）和服务器消息块 (SMB) 文件共享。l 使用多子网 FCI 或在 AlwaysOn 可用性组中运行 FCI 托管数据库的灾难恢复解决方案。 利用 Microsoft SQL Server 2012 中的新的多子网支持功能，多子网 FCI 不再需要虚拟 LAN， 因此可提高多子网 FCI 的可管理性和安全性。l 故障转移过程中无需重新配置应用程序和客户端。l 用于实现自动故障转移的针对具体触发器事件的灵活的故障转移策略。l 通过使用专用和持久的连接执行定期的详细运行状况检测，实现可靠的故障转移。l 通过间接后台检查点在故障转移期间实现可配置性和可预测性。故障转移期间限制对资源的使用。3.4.2. 主要决策考虑到系统今后的扩容需求，保证足够的吞吐性能推荐使用物理服务器承载SQL数据库。并且由于SQL数据库的重要性，建议使用两台物理服务器做集群。基于以上理由做如下主要决策：决策点设计决策说明数据库系统Microsoft SQL Server 2008 R2 Enterprise Edition使用Microsoft SQL Server 2008 R2 Enterprise Edition作为云终端系统 云终端系统数据库的数据库系统。数据库位置XXX容灾中心2台Windows Server 2008 R2 Enterprise Edition做群集，配置Microsoft SQL Server 2008 R2 Enterprise Edition。操作系统Windows Server 2008 R2 Enterprise Edition为环境中所有服务器指定标准操作系统。管理员Ctxdadmin负责管理数据库的人员。硬件物理服务器更多信息，请参考虚拟化架构和服务器硬件章节。冗余设置Windows Server 2008 R2群集SQL Database Server利用Windows Server 2008 R2群集功能实现高可用性。所有需要数据库功能的云终端系统组件均可以在数据库失效后的有限时间内持续提供服务。建议尽可能保障SQL Server的服务运行。数据库服务器资源独占由云终端系统 Data Store数据库中独占。备份策略完全Data Store将在夜间进行完全备份。数据库认证活动目录账户数据库将使用活动目录账户进行认证。Connection TypeTCP/IP数据传输使用TCP/IP Sokcets将比命名管道开销更小，更简便。IMA Encryption不需要加密IMA通信，即高