Windows VDA定制/优化/版本选择之我感

原创 sesame.qian 2017-07-06 11:53 评论(2) 1538人阅读

平时作桌面项目的时候，不少工程师都在问我一个问题，为何有些项目的桌面那个启动、登陆速度很快，他的PPT播放、3D的效果比我这个好？但对比下他的硬件配置还不如我。

这类很明显带有最终用户使用体验的问题，我相信不管是作哪家桌面的工程技术人员其实都有遇到，固然这里面其实牵涉到的技术面有很多，从系统优化、链路优化、我的数据访问、AD系统集成、认证等等不一而足，今天我主要想来讲在虚拟桌面中每一个用户、工程师都会用到的Windows系统自己。今天讨论的VDA或者咱们叫作虚拟桌面/云桌面，这里主要是说交付给最终用户使用的那个“东西”，不过多涉及到后台的各类交付、策略配置组件、客户端等等。

在如今的虚拟桌面市场中，你们用的最多的是Windows 7，其次是Windows Server 2008 R/2012 R2，以及如今慢慢开始被你们接受的Windows 10。

其实不管是哪一个版本的操做系统，咱们在交付给最终用户以前必定要对这个VDA系统作一次定制/优化。不然在我看来这就是对于客户的不尊重和不专业。

为何这么说呢？其实稍稍了解Windows系统的朋友都知道，微软的Windows产品每个大版本出来以后，RTM版基本没太多人上生产环境，通常都要等到出SP1以后才会逐步在市场中推广开来。作微软的圈子的人确定都知道一句玩笑话：MS东西没出SP1你敢用吗？

这个也从一个侧面Service Pack/hotfix这种东西对于系统稳定性提高有多重要。那咱们就来看看咱们经常使用的Windows 7的发布历程：

微软于2009年10月22日正式发布了Windows 7；2011年2月22日发布了Windows 7 SP1

不查不知道，忽然发觉Windows 7都已经发布8年了，SP1版本都6年半了。你们能够本身感觉一下过去10年IT的变化之快速，若是今天拿着一个2011年出版的Windows 7 SP1上生产，您以为这个符合时代的发展吗？

就比如上个月发生的“WannCry”勒索病毒，病毒发生后其实最正确的方法就是按照MS的要求和建议安装MS17-010的补丁（关于这个病毒和防御措施说明，请见MS MVP浩哥的说明，抵抗勒索病毒的正确姿式）。很多非IT圈的朋友问我，为啥这个最简单有效的办法，平时咱们的IT都不去作。我当时的回复就是：这个太low。

君不见如今作IT的公司若是说本身不是作云计算、大数据、iot、ML真是都很差意思出门见人。可是IT系统维护这些最基础的事情缺每每被人所忽视。其实微软的补丁更新系统能够说独步整个IT界，别的厂商在这个层面上基本不能望其项背。

#可能有人会说这是Windows系统写的差，因此不少漏洞。其实不管是Linux，MAC，Android系统都有漏洞，并且数量一点都很多，千万不要觉得用了MAC，用了iPhone就能够高枕无忧，该升级的时候必定要升级。

补丁对于系统到底能带来哪些改变呢：

1. 如上所述的安全漏洞。在这个IT安全愈来愈严峻的世界，这个能够说是最廉价而又十分有效的终端系统防御方案之一。

2. 功能加强，这里包含了不少咱们普通用户可能平时留意不到的内容。好比：网络性能、根证书链、特定传输协议优化（好比SMB）等等，这些看着不明显但却对用户最终使用会有明显改观的底层内容。

3. 新功能、新版本，好比.net framework升级，以及如今MS还会推送硬件驱动。

   备注：目前Windows Update能够推送XenServer 7.x的Guest tools驱动

因此咱们如今一台Windows 7SP1安装完成后若是使用Windows Update来更新补丁会发现得有差很少200个补丁须要去安装。

这就是这么多年历史积累下的各类组件的加强，能够说今天安装完成全部补丁的Windows 7 SP1和当年发布的Windows 7 SP1简直是天壤之别的两个产品。

这个时候就有朋友会说了，我如今若是真的把一个干净的Windows 7 SP1进行补丁升级，可能几天都不能完成，下载补丁过程很慢。其实这个缘由很简单，由于你的系统太旧了、底层部分组件太老了。Windows 7 SP1中，系统自带的Windows Updage Agent已经不匹配如今的Windows Update系统，致使其遍历补丁速度很是慢（曾经我等过2天，说多了都是泪）因此为了加速这个过程，咱们须要先手动在的系统上安装以下两个补丁：

3020369

3172605 

#请先安装3020369，3020369是3172605的前序补丁。

这两补丁安装好了之后，经过Windows Update就会很是快的检索、遍历出须要安装的补丁，后续的下载速度就彻底看网速了。

固然环境里面若是有WSUS/SCCM之类的管理软件就更为简单了，直接用其推送。因此在企业级环境中，强烈推荐管理员部署这类平台。其中WUSU是MS一个免费组件，简单好用。

那么说完补丁，这个只是完成了一个基础，那么接下来就须要对Windows系统进行优化。其实说是优化（这里不存在什么加速这种事情），在我看来更准确的描述实际上是对于Windows系统的“裁剪”，意思就是说把Windows系统在虚拟桌面体系中不须要的组件、服务、策略给删除、停用、调整。

#这个动做其实没有一个标准值，不少是基于不一样用户应用再来不断调整优化。这里只是列出我的一些经验。

从我我的来讲，个人基础镜像会作以下几个操做：

1. 添加删除组件里面，删除除了: .net framework 3.5,Windows Media Player, IE 以外的全部其余组件

2. 设定Pagefile大小（特别是在物理内存大于4G以上的场景中）

3. 停用没有必要使用的Service,

4. 停用没有必要使用的Schedule Task,

5. 停用包括Aero、鼠标在内的特效等，
   

停用的Service、Schedule Task这个确实是个技术活，过去这个操做都是须要靠经验或者参考一些KB来设定。我曾经也作个一个PSH脚本，来完成相应工做。如今Citrix提供了一个叫Citrix Optimizer的VDA镜像优化工具，这样能够极大的方便咱们一线人员的使用。（期盼很久啊。。。）

https://support.citrix.com/article/CTX224676

目前此工具支持Windows7,10, Server 2012, 2016。默认自带了相关模板，后续相信会不断完善给予更好的支持。

#Tools不是万能的，请根据实际状况调整。

完成这个以后，对于常规使用来讲，VDA的母镜像就已经能够交付使用了。可是咱们都知道通常状况下咱们会给用户都是Administrator即管理员权限。其实在任何系统中，当你拥有了系统管理员这个权限，控制就会变的很难作，为何你们都说Linux系统稳定，其实有一个很重要缘由是在Linux设计中，其管理体系在默认状况下，用户是没有Root即超管权限的，那么其核心的系统就不会受到用户侧的各类操做的影响，进而减小系统的不稳定性。

但是在Windows体系中，不管是从系统的设计逻辑、用户使用习惯和应用的特色，咱们是很难不给予用户Administrators的权限，那么就致使因为用户的误操做、应用相互干扰致使虚拟桌面没法正常工做。好比说有用户本身修改IP地址，自行删除一些桌面Agent，胡乱修改系统变量等等不一而足。

而过去，为了限制用户的操做，通常都须要借助GPO来完成这种操做，可是对于不少非MS背景的同窗来讲这个太复杂了。

因此Citrix经过一个叫WEM（Workspace Environment Management）来实现对于系统环境的设定。

好比，我经过设定限制用户不能使用Windows Update，Help这些功能。

#补丁应该在交付给用户前就安装好，而不是让用户去安装各类补丁。

限制用户不能使用控制面板或者面板中的一些特定组件。

这样来讲，在给予用户超级管理员权限状况下，也能合理控制用户，可使用整个桌面，以及定制化后的系统，这样才是最适合每一个不一样客户的系统。

其实从我我的的角度来讲，虚拟桌面这种产品他仍是须要和用户的管理体系对接，彻底开放、彻底不受控、不考虑标准化，也许初期使用没问题，到了中后期，越多不受控的虚拟桌面，对于用户方的运维压力将是前所未有。太多的用户跟咱们反馈过，若是初期不受控，后面的运维工做真是一晚上回到解放前。

#在这里其实要澄清一个观点，不少人说作标准化桌面必定要用标准/池化/Non-persistent桌面，其实我我的观点却是不必定。你能够经过技术手段来作这种重启即还原的桌面，也能够给用户彻底自控的专有/Persistent桌面，可是配套上企业的管理体系，好比：运行安装的软件是公司统一规定好的，安装非此清单中的软件就是违规，经过管理体系来进行控制与管理。

从我我的来讲，我很是推崇虚拟桌面对于IT前端运维的管理、控制特性。操做层面推崇的是一种技术+管理融通的方式，而不是死板的只使用技术来达到最终结果。

以上这些信息对于Windows 7 SP1， Windows Server 2012都是适用的，可是对于Windows 10却不彻底适用。这个主要的区别仍是在Windows 10系统自身的版本更新的体系有关。

相信你们都知道，过去不管是Windows 客户端系统，7,8/8.1仍是服务器系统2008R2, 2012R2都是经过Service Pack+hotfix方式来更新系统。

可是到了Windows 10，基本上每半年到一年，都会有一个完整的版本分发出来。每次新的版本发布都会带来大量的新功能、新组件、新服务。其实这也是MS为了规避过去那种Service Pack+hotfix的更新带来对于新功能的不能快速迭代的一种新时代的新方法。毕竟当前的IT发展，敏捷开发、快速迭代是一个大趋势。

从这张图咱们能够看出目前发布的3个主要的Windows 10版本，其Schedule Task，Service，Default App的数量都是会有一些不一样，那么进而致使其对于CPU/RAM等系统资源消耗量的不一样。

那么问题来了，若是咱们要使用Windows 10做为VDA的时候，咱们应该选择哪一个版本，RTM，Anniversary 或者Creator版本。（具体版本号请你们自行检索）

其实MS在设计Windows 10体系的时候就有考虑过这个问题，因此除了过去咱们熟识的专业版、企业版以外，他还引入新的Service options,

https://blogs.technet.microsoft.com/enterprisemobility/2016/01/06/navigating-the-windows-10-servicing-options/

其中Inside Program相似于BETA版，CB就是最新版本，CBB是一个稳定版本分支，LTSB则是以稳定为主。

因此MS推荐在企业级场景中，是使用CBB和LTSB这两种版本，我的用户推荐Inside和CB版本。好比我我的电脑目前就是使用最新的CB版本1703。

那么在当下，哪些版本是CBB和LTSB版本呢。在以下的MS网站，MS给出了每一个版本的状态，

https://technet.microsoft.com/en-us/windows/release-info.aspx

#请注意，这里Microsoft Recommend推荐的1703是其最新的版本，这个主要是对于我的用户使用。可是在VDA/虚拟桌面场景中，咱们须要参考MS推荐优先选择CBB/LTSB版本。

因此我的建议在虚拟桌面场景中，目前比较合适的选择是：1607，1511，1507这三个版本。

以上信息，仅表明我的观点，供参考。