桌面池信任關系失敗

給某部門專門部署的一套云桌面環(huán)境，忽然來電投訴打不開了，反復詢問用戶也說不清楚怎么回事，只得自己登錄檢查，一看卻是個新問題，RDS桌面池在登錄加載過程中，居然報“因工作站與主要域間的信任關系失敗而導致請求失敗”（如圖1）。

乍一看，有點分不清楚是Windows域控體系內(nèi)的信任失敗，還是云桌面與域控之間的信任失敗。登錄到Horizon管理后臺，赫然可見連接服務器的告警事件，描述的是“不可信任的證書”（如圖2）。憑直覺，數(shù)字證書應該與域間信任沒關系，而且隱約記得這個不可信數(shù)字證書很早以前就有，應該和現(xiàn)在的問題無關。除此之外，RDS場中的池服務器也顯示狀態(tài)正常，因此，信任失敗的問題是Windows域控體系內(nèi)的可能性更大。

既然說的是域間問題，先將域控和桌面池虛機分別重啟，排除掉Windows自身因長時間未重啟帶來問題的潛在可能。重啟完畢再次登錄云桌面，還是出現(xiàn)相同的提示。簡單詢問了一下用戶，了解到此云桌面環(huán)境有好久沒有人使用了，而設備也都一直開著沒有人動過。

圖1 云桌面登錄報錯界面

圖2 Horizon控制臺顯示運行狀況

圖3 退出AD域

根據(jù)用戶提供的很久沒有使用的信息，抱著試一下的想法，考慮將桌面池虛機退出AD域，然后再重新加入。退域和加入域的操作界面相同，在計算機名修改界面，選擇隸屬于“工作組”，填寫一個工作組名字，確定后會提示驗證域控管理員密碼，然后重啟Windows（如圖3）。

重啟后，回到相同的位置，再重新加入云桌面的AD域，此后再次登錄云桌面，很快順利進入了云桌面，問題得以解決。

小結：云桌面與AD域是一個高度關聯(lián)的技術體系，特別是身份授權的部分完全使用的是AD域機制，對云桌面用戶的絕大多數(shù)權限控制，也都通過AD域體系的組策略加以實現(xiàn)。已加入AD域的Windows都會與域控周期性同步相關信息和狀態(tài)，采用退域再重新加入的辦法，可以使過期及異常的狀態(tài)得到清理，可以使同步立即進行，從而重新建立信任關系。本例中的域控和域成員可能因為長時間沒人使用，并未觸發(fā)相互之間的同步，從而導致了問題的發(fā)生。因此，是否能用好管好云桌面，也需要運維人員進一步加深對AD域的理解。