華為桌面云“域間關系失信”故障分析和處理方法

劉波 楊世旺

（廣西廣播電視技術中心）

一、引言

當今社會屬于大數據時代，信息化腳步日新月異，各種云計算系統層出不窮，云計算系統的運維也逐漸成為信息化運維關注的重點，本文我們以華為桌面云為例，來了解一下“云”，并從實際運用中分析造成桌面云域間失信故障的原因和處理方法。

二、華為桌面云簡介

華為桌面云是一種將計算機軟、硬件資源整合并虛擬化后，向終端用戶提供虛擬遠程桌面的應用。終端用戶使用瘦客戶端或其他設備來訪問虛擬桌面，基于HDP（Huawei Desktop protocol）私有協議建立訪問通道，連接到自己的虛擬機上，進行常規的電腦辦公操作。桌面云虛擬機的登陸界面如圖1。

如圖2中可以清楚了解到華為桌面云系統中大致分為四大層，硬件資源層，FusionCompute層，FusionAccess層，終端用戶接入層，而對這些層次的運行管理都是通過統一資源管理平臺FusionManager實現的。以下是各部分功能簡述：

（一）FusionManager

FusionManager 是一個統一資源平臺云管理使能器，具備強大的管理能力，可以對華為虛擬化和非華為虛擬化的產品，以及物理資源、桌面云、云存儲和各種云服務進行統一管理。同時，可以對虛擬機進行快速發放和管理。

（二）硬件資源層

硬件資源層是指構成桌面云系統的硬件資源，如服務器、存儲、交換機等。

（三）FusionCompute層

FusionCompute 是虛擬化引擎，將物理資源，包括服務器、存儲設備、交換機等虛擬化為云資源池，以達到更合理的分配和利用IT資源的目的，同時FusionCompute還具備強大的物理設備兼容能力以保證不同云系統相互兼容。

（四）FusionAccess層

FusionAccess是華為虛擬化桌面管理系統，負責安全認證、安全協議、加密技術，保證終端用戶的接入安全和桌面傳輸安全。

（五）終端用戶接入層

終端用戶接入層是指終端用戶通過瘦終端、軟終端等方式接入到桌面云系統中。

三、域間失信分析

域間信任關系失敗故障發生后的體現，是在桌面云登錄過程中輸入域用戶賬號密碼后，顯示“此工作站和主域之間信任關系失敗”，且桌面云設置的是單用戶訪問，不能通過其他域用戶訪問，導致信任失敗后客戶端本地賬號無法激活，登錄不上系統，如圖3所示。

本次分析“此工作站和主域間的信任關系失敗”就是發生在FusionAccess層，屬于桌面登錄認證故障，根本原因是由于客戶端與AD（Active Directory以下簡稱AD）域控之間的安全通道（secure channel）損壞。發生掉域問題一般是因為有問題的客戶端在本地的機器賬號密碼，與存儲在AD域中的機器賬號密碼（以下簡稱機器碼）不一致造成的。以下是對造成不一致最常見的幾種情況的分析及應對措施：

（一）機器賬號密碼更新失敗

默認情況下，為了保護桌面云系統安全性，微軟AD域系統對計算機加入域需要校驗計算機機器碼（注意：此密碼不是用戶登錄密碼）。該密碼是計算機加入域時自動創建的，不可手動修改，默認30天會自動修改一次。如果本地計算機在機器碼自動更新之后人為控制回滾數據，使用原來的備份文件（保存了更新前的機器碼信息）恢復VM，將會導致VM不被AD域認可而脫域，最終會導致用戶無法登錄桌面云。一般的規避原理是設法保證本地計算機機器碼與AD域中的機器碼一致。可采取的措施，一是在AD域配置中將用戶計算機機器賬戶密碼變更功能關閉；二是桌面應用場景中設置回滾數據僅對用戶數據盤提供備份和恢復手段，對機器碼不作處理。

（二）賬號在AD域中被意外刪除

在AD域中由于某些意外，如服務器誤刪等導致終端用戶賬號、密碼被刪除，使本地用戶無法加入到AD域。此時可以通過檢查AD域，查看有問題的桌面云賬號是否存在，若不存在，再重新建用戶賬號并加入到相應工作組中即可，如圖4。

（三）密碼無法和Isa secret同步

ISA服務器是windows系統實現基于策略的網際訪問控制、加速和管理的統一管理控制臺。ISA客戶端和服務器通過共享一個機密（secret）實現接入驗證，ISA服務器只容許通過驗證的終端用戶訪問特定的服務器特性，如AD域服務器。當某種原因導致計算機賬戶的密碼無法和Isa secret同步時，終端用戶通過計算機登錄到域就會提示“此工作站和主域間的信任關系失敗”。發生此類情況則需要重啟administrator帳號進入系統，并重新將此計算機加入到相應域。

（四）機器賬號有重復的SID（Security Identif安全標識符，以下簡稱SID）

SID是標識用戶、組和計算機帳戶的唯一的號碼。在windows系統第一次創建該帳戶時，將給網絡上的每一個帳戶發布一個唯一的 SID。如果發生創建的Windows虛擬機SID與已有的虛擬機相同，則會出現“此工作站和主域間的信任關系失敗”，這常常是因為使用同一個鏡像安裝多臺客戶端引起的。在這種情況下，常規的退域再加域可能解決不了問題，需要重新配置Windows虛擬機的SID。為了確認是否由這個問題引起，我們常常需要運行以下命令導出domain partition對SID進行重復性檢查。ldifde-f C：domain.txt-d"dc=domaindnsname" 。

四、建議與總結

隨著信息化的發展，桌面云系統在各單位信息系統中已大量普及，有逐步取代傳統辦公電腦的趨勢，因此對于桌面云域間失信這一常見故障，運維管理人員有必要熟練掌握。本文是作者在實際工作中總結的一些常見故障處理方法，有效解決桌面云登錄過程中域間失信的問題，鑒于理論水平有限，如有不足之處歡迎指正。