Citrix虚拟桌面解决方案-XenDesktop-技术方案

Citrix虚拟桌面解决方案

2012年04月

目录

1. 2. 3.

背景 ........................................................................................................................................... 3 目标 ........................................................................................................................................... 3 解决方案 ................................................................................................................................... 3 1) 桌面虚拟化（XenDesktop） ........................................................................................... 4 2) 虚拟桌面镜像管理 ........................................................................................................... 6 3) 智能访问控制（SmartAccess） ...................................................................................... 8 4) 性能监控（EdgeSight） ................................................................................................ 11 5) Citrix桌面交付主要特性及优点................................................................................... 11 6) 技术部署 ......................................................................................................................... 12 7) 方案优势 ......................................................................................................................... 13 安全访问过程 ......................................................................................................................... 15 结论 ......................................................................................................................................... 23

4. 5.

1. 背景

目前，XXX银行网络是由内网和外网两套网络架构组成，如果信息中心的员工要到每个购物中心维护当地的PC机，将面临很大的维护工作量。同时，企业的销售和客户数据存在知识产权的外泄和一定的安全隐患，主要体现在如下方面：

1) 内、外网的环境中均需要有独立的PC系统。

2) 需要更多的维护人员进行系统维护，以保证业务的稳定性、连续性和安全性。

2. 目标

因此，为了帮助银行更顺畅的使用桌面系统，同时降低维护工作量和保证数据的安全，同时还能遵守安全规定。建议在内网和外网分别搭建两套虚拟桌面的方案，将软件和文档都放置到数据中心，只有授权的用户才能使用相应软件、才能拷贝重要文档，防止了信息的泄漏和丢失。

3. 解决方案

对那些希望在全公司范围有效保护企业和客户信息的现代企业来说，坚不可摧的安全性已成了万能钥匙。日益普遍的全球化和员工移动性的不断提高使数据的分布范围日益扩大，敏感数据越来越多地传播到企业网络范围之外，这无疑增加了数据安全漏洞。

保护企业数据变得越来越难，安全性理所当然地成了大多数IT机构工作的重中之重。然而，单靠部署最新的防火墙、防病毒或加密工具并不能拒日益狡猾的入侵者于网络之外。不光是黑客，有组织的犯罪、心怀不轨的内部员工和不经意间的错误都会使这些防线形同虚设；当关键数据不在IT部门控制范围之内时尤其如此。

而且，应对安全威胁的重任使IT部门疲于应付，已到了黔驴技穷的境地。要求定期进行及时更新和维护的传统安全控制解决方案显得无能为力。新的蠕虫攻击，被盗的笔记本电脑或狡诈的访问权限修改都会迅速演变为一场灾难。在用户设备必须独立部署和维护的情况下，情况会变得更加糟糕。此外，接入控制及其他安全保护措施会降低最终用户的生产率，这使IT部门更加头疼。

单纯靠使用更多工具来解决问题不是有效的解决办法。相反，IT部门需要一种全新的方法来应对面临的严峻挑战——这种方法必须使“位置”变得无关紧要，而且有望保护任何地方的重要企业信息。

Citrix XenDesktop就是这样一种解决方案。它将传统的桌面系统和应用部署方法转变为应用交付方法，使IT部门可以全面控制整个企业范围内数千种应用中创建、共享和散发的企业数据。在应用交付方法中，只有应用的“交互式”组件被动态地交付给最终用户，而应用本身及其企业数据仍保存在主机服务器中。

1) 桌面虚拟化（XenDesktop）

XenDesktop虚拟化桌面发布技术核心是其ICA协议，ICA协议连接了虚拟桌面和远端客户端设备，通过ICA的32个虚拟通道（包括鼠标、键盘、图像、声音、端口、打印等等），运行在虚拟桌面的输入输出数据重新定向到远端客户端机器的输入输出设备上，因此虽然应用客户端软件并没有运行在客户端设备上，但是用户使用起来和在客户端安装运行客户端软件相比，没有感觉任何操作上的改变。

由于ICA协议是一种高效率的数据交换协议，同时在中心服务器和远端终端设备之间传递的是经过压缩和加密的屏幕刷新和鼠标键盘信息，因此每一个连接只占用十几K的网络带宽。

这种模式使得企业应用部署架构上发生变化，从一种分布式部署变成了大集中的应用部署，因而带来了应用访问、性能及安全等各个方面的提升。

Citrix XenDesktop的应用交付何提供一种更智能的新方法来保护安全性，使IT部门可以获得最终的控制权，确保全面的安全性和监管法规遵从而不降低业务性能和生产率。

Citrix桌面交付技术可以在数据中心集中化管理桌面，还可轻松实现安全防护及备份。然而，经常出现的同一生命周期管理问题依然存在——IT部门仍需对每个虚拟桌面镜像及其所安装的应用程序和用户设置进行管理、维护和更新。另外，桌面虚拟化还会带来新的挑战——尤其是会使用户的网络性能大大降

低，使每位用户的桌面镜像网络存储成本大大增加。

Citrix XenDesktop桌面交付技术超越桌面虚拟化，可提供一种端到端的桌面交付解决方案。XenDesktop可动态按需产生虚拟桌面，用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。此外，XenDesktop采用的高速交付协议还可在任何网络条件下提供无与伦比的响应速度。对于IT机构而言，XenDesktop可通过分别交付桌面操作系统、应用软件和用户个人配置文件，大大简化桌面生命周期管理并显著降低拥有成本。

Citrix桌面虚拟化服务器包含如下组件：

 Citrix Desktop Delivery Controller服务器:以下简称Citrix DDC服务器，对用户的登录请求进行认证，授权用户可使用某一个用户桌面。

 Citrix Provision Server: 将用户的操作系统、应用软件、个人配置文件分离，采用流技术，将用户桌面按需提交到用户。Provisioning Server节省了IT管理人员的时间和金钱，并减少部署服务器补丁、更新和升级时的失误。 当需要打补丁或进行升级时，Provisioning Server的功能使IT能够复制现有的虚拟工作负载镜像，进行必要的更改，并使所有关联的服务器都能在重新启动时随之发生变化。 如果出现问题，可以回退到以前产生的镜像，仅需简单重新启动并回流到以前产生的镜像。

凯德置地Citrix桌面交付实现方式如下：

1. 员工利用现有计算机，以Web或客户端方式登录Citrix DDC服务器，节约

当前用户计算机的投资。

2. Citrix DDC服务器提交认证请求到后台域控制器。

3. 认证成功后，工作站按需从Citrix Provision服务器获取标准Windows桌

面、应用软件、用户个性配置文件。用户个性配置文件及新建的设计图纸等文档，都集中存放于比亚迪网络存储中，简化文件的管理；标准Windows桌面映像只需要一份，同时提供给所有用户使用，这可节约大量的存储空间。 4. Citrix DDC服务器通过ICA协议提交工作站上的桌面到最终用户，用户就像

使用本地计算机一样方便。

5. 用户与Citrix DDC服务器之间的会话采用ICA协议，只传输屏幕信息、键

盘、鼠标指令等，只占用少量的网络带宽。

2) 虚拟桌面镜像管理

在数据中心设立Provisioning Server for Desktops服务器（组），采用虚拟化技术和流技术通过网络服务按需交付单一的标准桌面操作系统和软件，而不是在每个桌面上进行物理部署。其他网络结构和软硬件资源基本不改变，但所有

的安装、维护、管理、控制等模式就发生了变化，并将带来一系列益处。Provisioning Server for Desktops的功能极大地降低了桌面运营和管理的成本，提高了数据安全性，降低了通常软件升级或打补丁相关的风险，简化了IT 管理，并增强了IT 灵活性。采用该解决方案，可以对所有桌面IT 操作实现集中化管理。由于操作系统/软件镜像虚拟化存储在网络上，因此无需在桌面上预先安装或永久性安装软件。该解决案提供了全面的PC 用户体验并且减少了桌面IT 管理的访问。

由于虚拟桌面操作系统引导是从网络上的Provisioning Server读取vDisk文件，所以，将有多种因素影响虚拟桌面的性能。下图是同时有225个并发时的引导时间为280秒，该测试环境的服务器是Dell Power Edge 2800，内存6G一块千兆网卡。一个PVS服务器可以支持377个设备，一般建议最少两台PVS服务器保证高可靠性。

280.00280.00260.00260.00240.00240.00220.00220.00200.00200.00180.00180.00160.00160.00140.00140.00120.00120.00100.00100.0080.0080.0060.0060.0040.0040.005 Boot Time )esimTt oBondoce(s(seconds)5151525253535454555556565757585Number of Clients Booting ConcurrentlyNumber of Clients Booting Concurrently859595105115125135145155165175185195205215225105115125135145155165175185195205215225Client: Dell GX520, Pentium 4 2.8 GHz, 512 MB RAM, NetXtreme Gigabit, Windows XP SP2Client: Dell GX520, Pentium 4 2.8 GHz, 512 MB RAM, NetXtreme Gigabit, Windows XP SP2Server: Dell PowerEdge 2800, Dual Xeon 3.2 GHz, 6 GB RAM, Intel PRO/1000 MT, Server 2K3 Standard SP1 (no HA)Server: Dell PowerEdge 2800, Dual Xeon 3.2 GHz, 6 GB RAM, Intel PRO/1000 MT, Server 2K3 Standard SP1 (no HA)Ardence Version: 4.1 SP 1Ardence Version: 4.1 SP 1Client RAMClient RAMHDD CacheHDD CacheServer CacheServer Cache 本方案按照客户有500个并发远程用户访问应用服务器的需求，为保证系统稳定不间断访问，建议在本方案中采用HA双服务器冗余：设立2台Citrix Provisioning Server服务器，有效保证系统的可靠性和可扩展性。 服务器 配置 功能 Provisioning 备注 PVS1 CUP 3GHz Dual Core /内存8 GB / NIC 1GB*2 PVS2 SQL Server SAN Server Provisioning Server PVS Database 用户Image 冗余 CUP 3GHz Dual Core /内存8 GB / NIC 1GB*2 CUP 2GHz / 内存 1GB / 160GB磁盘 按需配置 3) 智能访问控制（SmartAccess）

XenDesktop提供了全面的安全访问控制，所有访问虚拟桌面的用户，都会经过AAC高级访问控制，进行严格的权限控制。本地用户可以直接从内网访问，外网用户需要经过防火墙，而在两道防火墙之间的DMZ隔离区内放置SSL VPN设备Access Gateway硬件。

XenDesktop的智能访问控制能够根据不同用户接入时的不同场景，将有相应的接入策略与之对应，并控制用户使用企业资源的过程和操作。

第一步：针对远程接入场景的智能分析，包括：  接入角色分析  接入设备识别  接入设备配置  网络位置分析  认证方式

 其他定制的安全扫描 如图：进行端点扫描和分析

第二步：基于策略的企业应用资源接入，包括：  虚拟桌面

 文件和网络共享资源  基于Web的邮件系统  Web站点  基于Web的应用  邮件同步

 基于IP的语音应用（VoIP等软电话应用） 如图：接入策略控制

第三步：操作控制和管理  Copy/Paste  上传/下载资源  打印  预览

 保存到本地或者文件服务器  在线安全编辑（内存中进行）  日志

如图：操作控制管理

用户场景体验

体验一：当用户从企业内部网络来访问企业门户中的各种资源时，Citrix Access Gateway Enterprise监测到该用户访问从信任网络发起（内部网络）后，该用户可以接入的企业资源及可以进行的对资源的操作权限相对较大，这是符合常理的。

体验二：当用户作为企业移动用户来访问企业门户中的各种资源时，该用户可以接入的企业资源及可以进行的对资源的操作权限是有限的；毕竟，该用户是从外网接入，我们需要对其进行策略控制。

体验三：用户使用网吧计算机通过极其不安全的公共网络接入的企业资源及进行的对资源的操作权限我们是必须要对其进行严格控制的，此时，该用户会发

现很多资源只能浏览而没有更多的控制能力。

4) 性能监控（EdgeSight）

XenDesktop白金版的性能监控工具可以方便地监控XenDesktop管理服务器、虚拟桌面、访问客户端、网络等全方面的使用、错误、报警、性能、软硬件变更、硬件资源情况、软件使用情况、以及License管理等等。

通过性能监控工具，管理人员不仅可以追踪用户对应用软件的使用情况，提前预知系统的性能问题，并且保存数据，以供分析和产生报表。

5) Citrix桌面交付主要特性及优点

卓越的用户体验

1. 按需桌面：用户每次登录时都会动态产生一个虚拟桌面，从而确保性能不会降低SpeedScreen™：任何网络条件下都能提供最快速的桌面性能 2. 快速开机：数秒内便能访问虚拟桌面

3. 通用打印机驱动：为用户提供快速一致的打印体验，对于IT部门而言可简化打印机管理和支持

4. EasyCall：实现简单的点击呼叫语音通信 简单的桌面置备和管理

1. 桌面镜像管理：使IT可以通过一个单一镜像集中化管理多个虚拟桌面

2. 按需镜像置备：创建或取消置备虚拟桌面，不仅优化资源利用，而且用户每次登录时都能获得一个干净的操作系统

3. 桌面存储优化：使数百个虚拟桌面可以从一个单一桌面镜像启动，从而减少“桌面镜像蔓延”，可节省高达90%的存储费用

4. 虚拟机基础架构：提供一种基于准虚拟化的64位系统管理程序，实现虚拟桌面集中存管的可扩展性和经济实惠性 可靠的桌面访问管理

1. 桌面分配：为用户群创建虚拟桌面池，或为特定用户提供个性化桌面 2. 会话管理：虚拟桌面连接和会话状态 3. 会话可靠性：确保用户即使通过高延时或低带宽的网络连接也可继续工作 4. 高可用性/故障恢复：在避免产生单点故障的情况下让用户能够访问其虚拟桌面

5. 安全远程访问：使远程工作人员和加班人员能够采用其它设备从公司防火墙之外的地点访问其虚拟桌面 桌面优化和支持

1. 桌面性能监测：通过对实时和历史监测数据进行跟踪，主动确保用户始终获得最佳的性能

2. WAN优化：采用服务质量（QoS）机制来提升广域网（WAN）性能

3. 桌面支持：使技术支持人员能够查看用户屏幕、开展对话、传输文件，从而快速解决问题 广泛的桌面交付生态系统

1. 桌面设备：新型终端设备可提供最佳的用户体验和立即可用的互操作性 2. 支持广泛的系统管理程序：提供与思杰、微软和VMware等任何VM基础架构的互操作性和集成能力

3. 支持刀片PC：采用基于刀片PC的虚拟桌面，为用户提供高性能的专用计算资源

支持异构客户端：使用户在终端设备选择上具有更大的灵活性，支持Windows、Linux、Mac和智能手机等操作系统

4. Citrix Ready产品：确保与桌面设备、服务器、存储和管理软件的互操作性

6) 技术部署

在凯德商用的环境中，建议采用如下的部署架构：

公司员工桌面虚拟化服务器主域控制器7 U500 虚拟桌面VPN互联网Shopping MallXenDesktopDDCPVS服务器NASCTXLS授权服务器

本架构中，桌面交付控制器负责管理所有的虚拟桌面，虚拟桌面的操作系统和应用都以虚拟磁盘的方式从网络启动，每个用户的配置信息保存在网络上，当用户登录时动态装载。

7) 方案优势

采用Citrix桌面交付技术，用户使用相应的计算设备，比如说带有监视器和键盘的小型瘦客户机——这个设备通常被称为虚拟桌面设备或是VDI，用户从数据中心来安装虚拟桌面，这比起以前传统的桌面模式来有很多优势： 1、安全性加强

虚拟桌面的操作系统是置于数据中心，相对于传统的PC，更容易避免遭受恶意攻击。

安全补丁可以在数据中心仅需对标准Windows映像进行安装。

当桌面硬件被其他“瘦设备”代替时，它可以通过禁止使用如USB等可移动存储设备，降低使用者偷取信息和导入计算机病毒的可能。 信息保存在数据中心保证了数据的安全性；

2、运维成本减少

 把PC集中于数据中心，也可以加快新桌面的建立，通常只需安装一份包含了

现有的虚拟PC桌面的文件即可。

虚拟PC需要的补丁，也可以快速安装，而不用去访问各个工作区域。

 维护桌面的费用大大降低。

3、Citrix桌面交付技术特色

独有ICA协议。Citrix XenDesktop使用的ICA协议，而其他虚拟桌面技术一般则使用的是RDP协议。 RDP协议只能以TCP/IP协议为基础，ICA协议能够适用于TCP/IP、IPX/SPX和NetBEUI等多种协议。其中，IPX/SPX协议被国内的很多用户所采用，广泛应用于Novell网络。ICA可以应用于多种网络连接方式，如LAN、WAN、RAS dial-up、Direct serial connection(async.)、Direct dial-up和Browse available servers等。ICA除支持这两项功能以外，还具备以下不同的特征：

✓ 色彩：ICA协议支持真彩(24位色)，RDP协议只支持256色。

✓ 分辨率：ICA协议支持无限大（64000X64000），RDP协议只支持800x600。 ✓ 驱动映射：ICA协议可以将本地资源和服务器资源无缝地集成在一起，给用户的操作带来极大的方便。RDP协议不具备此功能。COM端口映射：ICA协议可以支持多种串口外设，RDP协议不具备此功能。

✓ Speed Screen：该项专利技术大大减少了网络传输数据量，一般情况下，平均每个用户的正常工作仅占用10Kbps。提供最快速的桌面性能，提高桌面显示速度；

✓ 协议稳定性：ICA协议的稳定性优于RDP协议。

✓ 多媒体支持：ICA协议能够支持音频、视频和多媒体带宽控制。而RDP不支持多媒体。

操作系统、应用软件、用户文件分离管理，减少存储空间，简化数据的集中管理。

4. 安全访问过程

虚拟桌面方案所有的桌面交付使用ICA协议，ICA只传输屏幕变化量，所有的传输的内容全部加密传输。详细的访问过程描述如下：

虚拟桌面启动

XenDesktop架构的第一阶段是使虚拟桌面上线。Data Collector（数据采集器）以空闲桌面门限值为参考并决定当前可用性。为了满足空闲门限值而需要新的虚拟桌面时，Data Collector执行启动步骤，过程如下：

5

图2、虚拟桌面启动过程

1 资源池服务（Desktop Delivery Controller） XenServer 虚拟桌面 DHCP 虚拟桌面 XenServer 80 桌面交付控制器上的资源池服务控制XenServer来启动特定的虚拟机。 2 3 4 5 虚拟桌面 DHCP 虚拟桌面 本地 67 67 XenServer通过本地API呼叫启动恰当的虚拟桌面。 虚拟机经由网络完成PXE启动。虚拟机向DHCP服务器请求IP信息。 DHCP服务器告知虚拟机IP地址和所有其它配置DHCP的选项。 虚拟机获得与Provisioning Server相应的引导服务器的地址，虚拟机还获得启动文件名。 Provisioning Server从虚拟机接收引导请求和正确的启动文件名。Provisioning Server上的TFTP服务发送启动文件。 Provisioning 68 Server（Bootstrap Server） TFTP 6 虚拟桌面 Provisioning Server（Bootstrap Server） 虚拟桌面 Provisioning Server 虚拟桌面 7 6910-6930 虚拟桌面执行引导文件并接收获取其流镜像的指令。该请求发送给Provisioning Server。 6910-6930 Provisioning Server基于虚拟机的MAC地址在数据库上查找要采用流技术交付的虚拟磁盘。识别出正确的虚拟磁盘后，Provisioning Server通过流技术交付操作系统。 本地 LDAP 虚拟桌面启动之后，虚拟桌面通知其本地虚拟桌面服务启动。 虚拟桌面服务采用活动目录验证服务器群ID。 8 Provisioning Server 9 10 虚拟桌面 虚拟桌面服务 （虚拟桌面） 虚拟桌面服务 （虚拟桌面） 活动目录 11 活动目录 虚拟桌面服务 （虚拟桌面） Desktop Delivery Controller IMA服务 （Data Collector） LDAP 成功验证服务器群ID之后，活动目录向虚拟桌面服务发送服务器群的桌面交付控制器列表。 虚拟桌面服务尝试随机连接桌面交付控制器。 联系到Desktop Delivery Controller之后，虚拟桌面在其上进行注册。注册后，该控制器将负责该特定的虚拟桌面。桌面交付控制器注册的虚拟桌面信息会被发送到XenDesktop服务器群的数据采集器。 虚拟桌面继续向桌面交付控制器发送30秒一次的心跳检测消息，表示该虚拟桌面仍然可用于连接。 12 13 虚拟桌面服务 （虚拟桌面） IMA服务 （Desktop Delivery Controller） 虚拟桌面服务 （虚拟桌面） IMA: 2512 14 Desktop Delivery Controller 8080 6

身份验证

用户需要虚拟桌面的交付，这要求正确的身份验证。对于外部用户，验证最初在Access Gateway进行，以阻止未授权的用户访问内部网络。验证过程如下进行：

图3、验证

1 终端 Access Gateway 终端 Access Gateway 活动目录 443 用户启动浏览器并请求完全合格的Access Gateway域名。 Access Gateway向用户呈现登录屏幕。 用户在登录页面上输入登录凭据。 Access Gateway采用已配置的活动目录服务器验证用户的凭据。 验证成功后，Access Gateway请求Web Interface网站。 Web Interface接收请求并从Access Gateway上的验证服务接收用户凭据。 2 3 4 Access Gateway 终端 Access Gateway 443 443 389 5 Access Gateway Web Interface 验证服务 （Access Gateway） XML服务 （Desktop Delivery Controller） 活动目录 80 6 Web Interface 443 7 Web Interface 80 从验证服务获得凭据之后，Web Interface将用户的凭据传送给XML服务。 8 XML服务 （Desktop Delivery Controller） XML服务 LDAP XML服务对用户进行活动目录的验证。 9 Web Interface 80 验证成功之后，XML服务决定哪个虚拟桌面（Desktop Delivery Controller） 10 Web Interface Access Gateway 终端 443 可用于用户。该信息发送给Web Interface。 Web Interface为用户创建包括虚拟桌面列表的Web页面。 Access Gateway作为Web Interface信息的代理，将其发送给客户端的浏览器。 11 Access Gateway 443 7

虚拟桌面连接

用户顺利通过身份验证后，他们必须请求可用的虚拟桌面。这要求用户选择单个图标，或者将环境配置为完成验证过程后自动启动桌面。无论选择哪一个解决方案，其过程如下：

图4、虚拟桌面连接

1 2 终端 Access Gateway Access Gateway Web Interface XML服务和IMA服务（Desktop Delivery Controller） Data Collector 443 80 用户选择一个代表虚拟桌面的图标。 选择的图标信息被发送到Web Interface进行处理。 Web Interface将请求转发到XML服务，然后转发到IMA服务。 3 Web Interface 80 4 XML服务 （Desktop Delivery Controller） IMA: 2512 将请求转发到Data Collector（数据采集器）进行处理。 5 IMA服务 通过IMA服务实（Data Collector） 现控制器服务（Desktop Delivery Controller） IMA: 2512 数据采集器将确定用户目前是否有断开连接、正在连接或者活动的虚拟桌面。如果有可用的虚拟桌面，用户将会被指向该虚拟桌面。然而，如果没有可用的虚拟桌面，控制器服务将会通知地址池服务联系XenServer，并让其启动新的虚拟桌面。一旦识别出某个虚拟桌面，数据采集器就会通知控制器准备该虚拟桌面。 控制器通知虚拟桌面在ICA和CGP端口上启动即将接入会话的侦听。 6 控制器服务（Desktop Delivery Controller） 虚拟桌面服务 （虚拟桌面） 8080 7 控制器服务（Desktop Delivery Controller） IMA服务 IMA: （Data Collector） 2512 控制器通过IMA向数据采集器转发虚拟桌面连接信息。 8 XML服务 Web Interface （Data Collector） Web Interface Access Gateway 80 数据采集器通过XML Broker将虚拟桌面连接信息转发给Web Interface。 Web Interface创建虚拟桌面的启动文件（ICA文件），并将其转发给Access Gateway。 Access Gateway将ICA文件转发给终端。 终端接收到ICA文件并执行该文件。基于文件类型关联性，ICA文件由桌面接收器启动。连接请求被发送到Access Gateway。 Access Gateway代理终端与虚拟桌面之间的启动请求。 虚拟桌面通知控制器用户已经连接上，而且该信息会被发送到数据采集器。随后，用户的登录信息被发送到控制器进行验证。 9 443 10 11 Access Gateway 终端 终端 Access Gateway 443 文件类型关联 12 Access Gateway 虚拟桌面 虚拟桌面 ICA或CGP 8080 13 控制器服务（Desktop Delivery Controller） 许可证服务器 14 控制器服务（Desktop Delivery Controller） 控制器服务（Desktop Delivery Controller） 虚拟桌面 27000 控制器在进行验证前完成以下任务： ● 验证凭据 ● 检查来自许可证服务器的许可证 ● 确定虚拟桌面的一套相应策略 15 虚拟桌面 8080 如果凭据有效而且有可用的许可证，那么凭据、许可证和策略都会发送给虚拟桌面进行处理。 16 活动目录 LDAP 连接经控制器同意后，虚拟桌面使用接收到的凭据登录活动目录，并运用适合的策略。 基于采用的活动目录策略，虚拟桌面联系保持用户个性化设置的文件服务器。所有设置都会运用到虚拟桌面。 17 虚拟桌面 个性化 SMB 虚拟桌面个性化

启动虚拟桌面之后，最后一件要完成的事情就是将应用程序集成到虚拟桌面上。与XenApp集成时，该过程自动完成，如下图所示。

图5、虚拟桌面个性化

9

1 终端 虚拟桌面 443 / ICA 通过Access Gateway完成端点与虚拟桌面之间的连接。 / CGP 80 当用户登录到桌面时，Application Receiver（应用接收器）自动启动。基于配置，接收器联系Web Interface并自动传送登录凭据。 Web Interface将登录凭据传送给XML服务。 XML服务验证活动目录的凭据。. 利用有效凭据，XML服务确定用户可以使用的应用程序并将该信息传送给Web Interface。 Web Interface发送应用程序信息给Application Receiver用于显示。 当用户选择了接收器内的应用程序，该请求会发送给Web Interface。 应用程序启动请求被转发给XML服务，以确定应用程序是采用流技术交付还是托管方式。 XML服务将应用程序信息发送给Web Interface。 Web Interface接收到应用程序信息，创建启动文件，并将启动文件发送给接收器。 应用接收器执行包括应用程序启动指令的启动文件。 ● 采用流技术交付的应用：启动文件指示接收器联系交付应用的服务器。采用流技术通过SMB将应用交付给虚拟桌面。 ● 托管的应用：启动文件指示接收器联系托管应用的XenApp服务器。接收器和XenApp服务器通过ICA端口1494创建直接连接。 2 Application Receiver （虚拟桌面） Web Interface XML服务 XML服务 Web Interface 3 4 5 XML服务 活动目录 Web Interface 80 LDAP 80 6 Web Interface Application Receiver Web Interface XML服务 80 7 Application Receiver Web Interface 80 8 80 9 XML服务 Web Interface 80 10 Web Interface Application Receiver XenApp 80 1494或SMB 11 Application Receiver

5. 结论

使用思杰的虚拟桌面解决方案可以让各个购物中心员工通过ADSL、专线在购物中心能够安全高效的访问数据中心内部的工作桌面，所用带宽基本上在10k-30k之间。