SANGFOR_aDesk_VMP4.6_2016年度渠道高级认证培训08_独享桌面特殊场景案例

SANGFORaDesk独享桌面特殊场景案例,双网隔离,AD域结合部署,SANGFORaDesk,USB-KEY认证,双网隔离,4,双网隔离,双网隔离双网隔离方案，通常是在两个相互隔离的网络上部署桌面云，要求用户使用虚拟机能分别访问两个网络，但两个网络之间不能互访，不能在两个网络间传输数据。根据隔离方式和安全要求的不同，通常分为逻辑隔离和物理隔离两种场景。,逻辑隔离案例,逻辑隔离两个网络之间有连接，但通过网络设备进行软件方式隔离，可以通过交换机ACL或者防火墙策略等对两个网络之间互访进行限制。,逻辑隔离案例,客户需求办公网和互联网两个区域相互隔离。客户需求是用户在内网办公时使用PC，如需访问互联网则需在独享桌面中进行。,逻辑隔离案例,拓扑,逻辑隔离案例,该方案中，用户的PC或aDesk在办公网，不需要在独享桌面内办公。但需要访问互联网时，从VDC的DMZ口登录独享桌面。独享桌面虚拟机桥接到互联网交换机上，通过互联网交换机访问互联网。图中虚拟机桥接到ETH0口，而aDesk只能访问VMP的ETH1口。默认配置下，虚拟机桥接在ETH0口，则aDesk连接独享桌面虚拟机时，会尝试连接VMP的ETH0接口IP。无法连接ETH0的接口IP时，VDC4.0-4.2版本会直接连接失败，VDC4.3以上版本支持通过VDC代理连接VMP，但会对VDC产生较大的流量压力。可以修改VMP的“VDC客户端通信口”，配置让aDesk从VMP的ETH1口去连接虚拟机。该配置用于指定PC/aDesk连接虚拟机时使用的VMP通信网口，留空时则使用虚拟机所桥接的物理网口。,逻辑隔离案例,客户需求办公网和互联网两个区域相互隔离。客户要求访问办公网和互联网时都在独享桌面中进行。,逻辑隔离案例,拓扑由于独享桌面虚拟机Agent只能接入VDC的LAN口，两个网络中的虚拟机能同时访问相同的地址，容易出现网络互通，因此需要用其他网络设备来进行隔离控制。,同样需要修改“VDC客户端通信口”，指定为ETH1接口。,物理隔离案例,物理隔离两个网络之间没有任何连接，即为物理隔离。VDC4.3开始支持aDesk同时配置两套网络地址，通过网络切换器来实现对两个网络的分别访问。需要在adesk上启用双网,物理隔离案例,客户需求要求实现两个网络的物理隔离，用户分别使用两个桌面去访问两套网络。,物理隔离案例,拓扑需要部署两套独享桌面环境，然后aDesk需要配置两套IP，通过网络切换器来切换桌面访问。注意：物理隔离的两个网络中，VDC地址不能一样。,USB-KEY认证,15,USB-KEY认证,配置思路新建KEY认证代理服务器安装agent程序安装USB-KEY驱动派生KEY认证代理服务器虚拟机配置USB-KEY的Vid&Pid设置USB-KEY方式登录,新建KEY认证代理服务器,安装agent程序,安装USB-KEY驱动,成功安装agent程序与USB-KEY驱动之后，将虚拟机关机并转化为模版。,派生KEY认证代理服务器,认证服务器名称默认AuthServer，认证服务器模版、运行位置、存储位置、桥接到虚拟交换机以及认证服务器数量可以手动选择。,开机计划：指定关闭或挂起状态的认证服务器自动开机的时间。,关机计划：指定开机状态下的认证服务器自动关机的时间。,创建成功的虚拟机属于“USB-KEY认证代理服务器”组。KEY认证代理服务器开启后状态为空闲,配置USB-KEY的Vid&Pid,编辑名称、型号（Vid_xxx&Pid_xxx格式）以及设置是否启用拔KEY注销。,Windows系统中插入KEY，用ChipGenius.exe可以查看到VID和PID,设置USB-KEY方式登录,认证选项选择“数字证书/DKEY认证”,选择“创建USB-KEY”,创建USB-KEY之前需先将USB-KEY插到电脑上,配置完毕后点击“开始创建”,开启adesk，将USB-KEY插好，认证方式选择“USB-KEY认证”，输入配置好的PIN码即可登录,AD域结合部署,23,AD域结合部署,客户需求客户要求使用AD域管理用户名、密码及用户的各种属性和权限等信息，不使用本地用户，虚拟机直接加入到域,AD域结合部署,部署思路配置LDAP服务器自动登录方式选择”登录到域“使用域账号登录VDI,AD域结合部署,配置LDAP服务器,AD域结合部署,自动登录方式选择,A