XXX供电局Citrix XenDesktop虚拟桌面平台PKI虚拟化组件实施方案.docx

XXX供电局Citrix XenDesktop虚拟桌面平台PKI/CA系统虚拟化组件实施方案北京江南天安科技有限公司版本控制版本时间编制/修订审核批准修改说明V1.02013-12-25湛志成孔文峰目 录1.概述32.项目实施内容33.实施环境33.1.人员要求33.2.Vmware平台环境要求43.3.使用环境建议53.3.1.虚拟桌面配置要求53.3.2.RDP协议结合智能卡移除锁定工作站策略53.3.3.终端机“智能卡移除-锁定工作站”策略64.实施详细方案74.1.实施时间计划74.2.实施前工作准备74.2.1.USB KEY设备采购改造74.2.2.虚拟化桌面平台搭建74.2.3.桌面终端系统安装部署74.2.4.AD域PKI改造84.2.5.AD域策略准备84.3.实施部署详细步骤84.3.1.LRA终端PKI组件安装84.3.2.LRA终端制证84.3.3.AD域帐号属性修改84.3.4.Citrix XenDesktop配置114.3.5.安装虚拟桌面模板164.3.6.池设置204.4.检查列表204.5.常见故障处理215.项目风险及防范225.1.部署后的影响范围225.2.可能的风险225.3.风险防范226.项目管理方法231. 概述广东电网公司于2005年进行了PKI/CA证书中心系统的部署并于2011年初完成改造，在全省范围内进行PKI/CA系统的推广。基于PKI智能卡的强身份验证在广东电网办公内网得到了广泛使用。近几年以来，随着虚拟桌面技术的发展与逐步成熟，越来越多的组织机构开始使用虚拟桌面系统来解决当前桌面终端运行模式带来的问题，虚拟桌面系统构建了一个与硬件无关的用户桌面计算环境，通过对虚拟桌面进行集中的运行维护、管理控制，从而实现桌面终端系统的高安全性、安可用性和低管理维护性。江南天安开发出PKI智能卡虚拟化组件，支持Citrix XenDesktop虚拟桌面平台实现PKI智能卡登录，加强了终端及虚拟桌面的安全。2. 项目实施内容l AD域配置Citrix管理模板1) 配置瘦客户机Citrix智能卡登录策略l Citrix XenDesktop平台智能卡配置1) XenDesktop IIS服务配置2) XenDesktop配置l LRA发证终端PKI虚拟化组件安装1) 安装FU UKEY、FT UKEY驱动2) 更新广东电网USB KEY证书使用助手l 瘦终端PKI虚拟化组件安装1) 安装FU UKEY驱动2) 安装广东电网USB KEY证书使用助手3) 安装配置Receiver Enterprisel Citrix XenDesktop桌面PKI虚拟化组件安装1) 创建虚拟机模板2) 在模板安装FU UKEY驱动，广东电网USB KEY证书使用助手3) 部署模板3. 实施环境3.1. 人员要求根据北京江南天安公司对整个项目的规划和人员的组织结构，我方建议供电局建立与之相适应的项目组，以配合该项目的顺利实施，项目组组成人员如下表：人员角色人数职 责项目负责人1负责整个项目的事务性管理各方的工作PKI/CA系统管理员1负责与PKI/CA相关的协调工作虚拟桌面管理员1负责与虚拟桌面相关的协调工作AD域管理员1负责与AD域相关的协调工作桌面终端管理员1负责与桌面终端相关的协调工作网络管理员1负责与网络相关的协调工作PKI虚拟化涉及PKI/CA系统、虚拟桌面系统、AD域系统、桌面终端系统，需要以下系统厂家协同实施，实施工程人员组成如下表：应用系统厂家人数职 责PKI/CA系统1负责与PKI/CA的部署配置虚拟桌面系统1负责与虚拟桌面的部署配置AD域系统1负责与AD域相关的的部署配置桌面终端系统1负责与桌面终端相关的的部署配置3.2. Citrix XenDesktop平台环境要求环境项目要求Citrix XenDesktop版本Citrix XenDesktop 5.6虚拟桌面连接方式Receiver连接，版本Citrix Receiver Enterprise 3.43.3. 使用环境建议3.3.1. 虚拟桌面配置要求. 问题描述在测试过程中，发现若虚拟桌面的性能太低，会导致启动、注销等操作出现卡顿现象。. 建议CPU要求：2个CPU以上内存要求：2G内存以上3.3.2. Citrix Receiver策略模板密码传递设置. 问题描述Citrix Receiver策略模板有“Local user name and password”配置项，通过启用“Enable pass-through authentication”和“Allow pass-through authentication for all ICA connectios”，可以在登录虚拟桌面时传递用户密码或PIN码，减少用户输入密码次数。当用户使用用户名和密码登录瘦终端，同时使用智能卡登录Receiver时，在虚拟桌面登录窗口中传递的PIN码将是当前用户的密码，会导致虚拟桌面提示：“系统无法让您登录。尝试使用此智能卡时发生错误。您可以在事件中志中查找到详细信息。请向系统管理员报告此错误。”点击确定后会看到PIN码输入框中有传递的密码（PIN码长度为用户密码长度，管理员可以此判断）。. 建议如果瘦客户机环境不是仅使用智能卡登录域（PKI单轨），取消“Local user name and password”，让用户在虚拟桌面登录窗口自行输入PIN码登录。如果瘦客户机环境仅使用智能卡登录域，启用“Local user name and password”，可以让用户更便捷登录到虚拟桌面。4. 实施详细方案4.1. 实施时间计划序号项目阶段开始日期完成日期1项目启动2实施前准备工作3安装部署4测试与联调5上线切换6上线后技术支持4.2. 实施前工作准备4.2.1. USB KEY设备采购改造广东电网目前内网环境使用的USB KEY为FT格式，不支持虚拟化。需要采购支持虚拟化的FU格式USB KEY。或者将FT格式USB KEY回收，由江南天安进行设备内部格式改造。支持虚拟化USB KEY在广东电网USB KEY证书助手2.6.0.x中识别为：FU SCR2000A。4.2.2. 虚拟化桌面平台搭建搭建虚拟化桌面平台环境，按照虚拟平台使用智能卡设定配置平台环境。4.2.3. 桌面终端系统安装部署桌面终端安装部署操作系统，要求操作系统为微软windows xp/win7操作系统。4.2.4. AD域PKI改造AD域经过PKI改造，可以使用UKEY进行域登录。4.2.5. AD域策略准备在AD域中使用Active Directory用户和计算机管理工具，建立瘦客户机OU，将瘦客户机计算机移动到OU中，预备为该OU实施智能卡登录域策略。4.3. 实施部署详细步骤4.3.1. LRA终端PKI组件安装详见PKI虚拟化组件部署安装手册4.3.2. LRA终端制证为FU UKEY颁发数字证书。详见广东电网公司PKI证书中心升级改造项目RA系统使用说明手册4.3.3. Citrix XenDesktop配置. 添加IIS web证书1） 打开IIS管理器，在服务器主页，双击打开“服务器证书”2） 在操作任务栏，点击“创建证书申请”3） 输入证书信息，其中通用名称必须为服务器FQDN，点击“下一步”4） 选择默认设置，点击“下一步”5） 为证书申请指定文件名，点击“完成”6） 提交给CA颁布证书，获得证书文件（过程略）7） 点击“完成证书申请”8） 指定获得的证书文件，点击“确定”9） 在Default Web Site，点击“绑定”10） 点击“添加”11） 选择类型为“https”，SSL证书为刚才导入的证书，点击“确定”12） 关闭网站绑定窗口，完成证书绑定. 添加IIS身份验证方法1） 打开“服务器管理器”，- 角色 - Web服务器，点击右键，选择“添加角色服务” 2） 在“安全性”，安装“基本身份验证”、“windows身份验证”，“摘要式身份验证”、“客户端证书映射身份验证”3） 打开IIS管理器，在服务器主页双击“身份验证”4） 确保“Active Directory客户端证书身份验证”、“匿名身份验证”已经启用5） 选择Default Web Site，双击打开“身份验证”6） 确保“Windows身份验证”、“基本身份验证”、“匿名身份验证”、“摘要式身份验证”已经启用。7） 选择Default Web Site，双击打开“SSL设置”8） 勾选“要求SSL”，客户证书选择“忽略”，点击“应用” . 配置XML信任1) 在Desktop Studio，点击“Powershell” 2) 点击“启动Powershell” 3) 在powershell命令行输入：Add-PSSnapin citrix*set-brokersite TrustRequestsSentToTheXmlServicePOrt $True. 修改xml端口1) 以管理员身份运行命令行窗口命令CMD，进入citrix broker目录，默认为c:program filescitrixbrokerserivce 2) 执行brokerservice.exe show查看当前xml端口3) 修改wi port为8080，wi ssl port为8443Brokerservice.exe wiport 8080 wisslport 844. 配置interface 1) 导航窗口选择 Access - Citrix Web Interface - XenApp Services站点，选择PNAgent Site,点击“服务器场”2) 选择“Farm1”，点击“编辑”3) 修改XML通信端口为“8080”，点击“确定”4) 点击“确定”完成修改 5) 点击“身份验证方法”6) 按需要选择身份验证方法4.3.4. 在AD域控配置citrix管理模板1) 安装了receiver后，在receiver安装目录里有icaclient.adm的管理模板，可以通过配置管理模版开启citrix智能卡登录功能。文件位置默认是：c:Program FilesCitrixICA ClientConfigurationicaclient.adm。将该文件拷贝到域控服务器上。2) 在域控服务器打开组策略管理工具3) 在瘦终端OU上点击右键，选择“在这个域中创建GPO并在此处链接”（本例是Citrix虚拟桌面）4) 输入新建GPO名称，点击“确定” 5) 右键点击新建的GPO策略，选择“编辑”6) 展开 计算机配置 管理模板 右键点击“管理模板”选择“添加模板” 7) 点击“添加” 8) 找到拷贝过来的icaclient.adm，点击“打开” 9) Icaclient添加到管理模板，点击“关闭”10) 在组策略管理编辑器中展开 计算机配置策略管理模板经典管理模板Citrix Components User authentication，双击“Smart card authentication” 11) 策略配置为“已启用”，勾选“allow smart card authentication”和“use pass-throuht authentication for PIN”12) 在组策略管理编辑器中展开 计算机配置策略管理模板经典管理模板Citrix Components User authentication，双击“Local user name and password” 13) 策略配置为“已启用”，勾选“Enable pass-through authentication”和“Allow pass-through authentication for all ICA connections” 4.3.5. Citrix 虚拟桌面VDA安装创建虚拟机，安装UKEY驱动，CSP，虚拟桌面代理。. 加入域（过程略）. 安装UKEY驱动详见PKI虚拟化组件部署安装手册. 安装CSP软件详见PKI虚拟化组件部署安装手册. 安装citrix虚拟桌面代理1) 运行desktop光盘安装程序，点击“安装虚拟桌面代理”2) 点击“高级安装” 3) 勾选“接受条款和条件”，点击“下一步”4) 选择“虚拟桌面代理”，点击“下一步” 5) 取消“Citrix Receiver”选项，点击“下一步” 6) 根据需要选择是否启用“Personal vDisk”，默认不选择，点击“下一步” 7) 选择“手动输入控制器位置”，输入xen desktop 服务器FQDN地址8) 如果正确解析xen desktop服务器，安装程序提示“已解析所有控制器地址”，点击“确定”。9) 选择虚拟桌面配置，点击“下一步“ 10) 配置完成，点击“安装” 11) 安装成功，点击“关闭”，重新启动计算机。4.3.6. 虚拟桌面部署（略）根据用户需要，由Citrix Xendesktop运维人员部署虚拟桌面，并进行授权。4.3.7. 瘦终端配置. 安装UKEY驱动详见PKI虚拟化组件部署安装手册. 安装CSP软件详见PKI虚拟化组件部署安装手册. 安装Citrix Receiver Enterprise3.41) 从官网下载citrix receiver enterprise3.4 （或使用安装包里的citrix receiver enterprise3.4）2) 运行CitrixreceiverEnterprise.exe，点击“安装”3) 安装程序自动安装完成4) 点击托盘的receiver图标 5) 点击“高级”，展开选项6) 右键“online plug-in”设置7) 点击“更改服务器”8) 输入DDC服务器地址，点击“更新”9) 右键“online plug-in”设置，点击“选项”10) 选择“智能卡登录”，点击“确定”4.4. 检查列表序号检查项目要求策略检查结果1USB KEY格式改造改造为FU 格式2证书颁发为FU UKEY颁发证书3IIS web证书使用可信CA颁发IIS Web证书4IIS身份验证方法配置额外的身份验证方法5配置XML信任Powershell添加XML信任6修改XML端口修改xml端口为80807配置interface配置智能卡认证配置Farm XML端口为80808虚拟桌面性能1、2核、2G内存以上9PKI虚拟桌面组件安装1、安装USB KEY驱动2、安装广东电网USB KEY证书助手10瘦终端receiver配置配置receiver为智能卡登录11AD域策略设置配置citrix策略模板4.5. 常见故障处理1) “系统无法让您登录。尝试使用此智能卡时发生错误。您可以在事件中志中查找到详细信息。请向系统管理员报告此错误。”点击确定后会看到PIN码输入框中有录入的密码。原因：瘦客户机应用了“Local user name and password”策略，用户使用用户名和密码登录瘦客户机，根据策略，用户密码作为PIN码传递虚拟桌面尝试登录，导致PIN码校验失败。解决办法：重新输入正确PIN码登录。5. 项目风险及防范5.1. 部署后的影响范围影响范围包括：使用瘦终端的用户，及通过终端连接虚拟桌面的业务系统5.2. 可能的风险1) 用户不能登录操作系统，无法使用业务系统2) 用户锁定虚拟桌面前未保存作业，不能解锁导致未保存工作内容丢失5.3. 风险防范1) 在不同终端及虚拟池进行测试，验证智能卡登录的功能和稳定性；2) 指导用户养成良好的工作习惯，在锁定工作站前保存作业；3) 在出现智能卡登录异常的情况下，可开启用户名帐号登录策略，通过帐号名密码方式登录系统，保存作业，重启计算机恢复正常使用环境。6. 项目管理方法6.1. 项目组织项目领导委员会项目领导委员会的任务是宏观监控整个项目的实施。对于项目进程中不可避免的重大变更，由项目领导委员会来批准这些变更的实施，从而确保项目最大限度地如期完成。我们建议组委会成员由：l 供电局信息中心领导l 北京江南天安科技有限公司技术部门主管领导供电局项目经理供电局项目经理需对项目的计划及实施负责。包括：l 负责协调和安排信息系统管理部内部项目组成员工作l 为项目组织必要的资源l 变更控制的协调工作l 负责审批、确认和签署项目提交文档 供电局实施小组供电局实施小组职责包括：l 进行监督、管理项目实施，及时反馈用户的意见和建议。l 接受安装、配置、客户化等项内容的技术转移实施任务江南天安项目经理北京江南天安科技有限公司项目经理需对项目的计划及实施负责。包括：l 负责所有的项目组成员的工作安排l 召开项目会议，定期向项目领导委员会提交工程进度报告l 组织必要的资源l 保证工程按期提交验收l 变更控制的协调工作l 编制项目计划l 根据已批准的计划对项目进度进行监督和汇报江南天安实施小组江南天安实施小组职责包括：l 完成安装、配置、客户化等实施任务江南天安培训小组江南天安培训小组职责包括：l 完成培训、技能传递任务江南天安质量控制小组江南天安质量控制组职责包括：l 监督项目总体进度；l 在保证项目实施进度的前提下，监督、控制项目实施的质量；l 确保项目实施能够达到项目预期目标；6.2. 文档管理1) 各方的文档范围控制规定由各方的项目负责人负责执行；2) 各个项目小组的负责人负责管理相关组成员的文档交换和使用事宜；3) 项目的最终文档需经各方审核后，由投标方提交招标方；4) 未经双方项目经理许可，双方小组成员不得擅自交换文档；6.3. 项目变更管理变更管理计划的目的是为在项目生命周期内进行任何必要的变更而确定一个处理流程，以对变更进行管理和维护。变更管理计划由以下部分组成：l 变更开始变更请求可由项目组中任何一方提出。变更请求描述提出变更的经项目领导组评估。l 变更评估项目领导组批准进行变更的评估。评估将检查变更对项目各个因素的