Windows VDA定製/優化/版本選擇之我感

原創 sesame.qian 2017-07-06 11:53 評論(2) 1538人閱讀

平時作桌面項目的時候，不少工程師都在問我一個問題，爲何有些項目的桌面那個啓動、登陸速度很快，他的PPT播放、3D的效果比我這個好？但對比下他的硬件配置還不如我。

這類很明顯帶有最終用戶使用體驗的問題，我相信不管是作哪家桌面的工程技術人員其實都有遇到，固然這裏面其實牽涉到的技術面有很多，從系統優化、鏈路優化、我的數據訪問、AD系統集成、認證等等不一而足，今天我主要想來講在虛擬桌面中每一個用戶、工程師都會用到的Windows系統自己。今天討論的VDA或者咱們叫作虛擬桌面/雲桌面，這裏主要是說交付給最終用戶使用的那個「東西」，不過多涉及到後臺的各類交付、策略配置組件、客戶端等等。

在如今的虛擬桌面市場中，你們用的最多的是Windows 7，其次是Windows Server 2008 R/2012 R2，以及如今慢慢開始被你們接受的Windows 10。

其實不管是哪一個版本的操做系統，咱們在交付給最終用戶以前必定要對這個VDA系統作一次定製/優化。不然在我看來這就是對於客戶的不尊重和不專業。

爲何這麼說呢？其實稍稍瞭解Windows系統的朋友都知道，微軟的Windows產品每個大版本出來以後，RTM版基本沒太多人上生產環境，通常都要等到出SP1以後纔會逐步在市場中推廣開來。作微軟的圈子的人確定都知道一句玩笑話：MS東西沒出SP1你敢用嗎？

這個也從一個側面Service Pack/hotfix這種東西對於系統穩定性提高有多重要。那咱們就來看看咱們經常使用的Windows 7的發佈歷程：

微軟於2009年10月22日正式發佈了Windows 7；2011年2月22日發佈了Windows 7 SP1

不查不知道，忽然發覺Windows 7都已經發布8年了，SP1版本都6年半了。你們能夠本身感覺一下過去10年IT的變化之快速，若是今天拿着一個2011年出版的Windows 7 SP1上生產，您以爲這個符合時代的發展嗎？

就比如上個月發生的「WannCry」勒索病毒，病毒發生後其實最正確的方法就是按照MS的要求和建議安裝MS17-010的補丁（關於這個病毒和防禦措施說明，請見MS MVP浩哥的說明，抵抗勒索病毒的正確姿式）。很多非IT圈的朋友問我，爲啥這個最簡單有效的辦法，平時咱們的IT都不去作。我當時的回覆就是：這個太low。

君不見如今作IT的公司若是說本身不是作雲計算、大數據、iot、ML真是都很差意思出門見人。可是IT系統維護這些最基礎的事情缺每每被人所忽視。其實微軟的補丁更新系統能夠說獨步整個IT界，別的廠商在這個層面上基本不能望其項背。

#可能有人會說這是Windows系統寫的差，因此不少漏洞。其實不管是Linux，MAC，Android系統都有漏洞，並且數量一點都很多，千萬不要覺得用了MAC，用了iPhone就能夠高枕無憂，該升級的時候必定要升級。

補丁對於系統到底能帶來哪些改變呢：

1. 如上所述的安全漏洞。在這個IT安全愈來愈嚴峻的世界，這個能夠說是最廉價而又十分有效的終端系統防禦方案之一。

2. 功能加強，這裏包含了不少咱們普通用戶可能平時留意不到的內容。好比：網絡性能、根證書鏈、特定傳輸協議優化（好比SMB）等等，這些看着不明顯但卻對用戶最終使用會有明顯改觀的底層內容。

3. 新功能、新版本，好比.net framework升級，以及如今MS還會推送硬件驅動。

   備註：目前Windows Update能夠推送XenServer 7.x的Guest tools驅動

因此咱們如今一臺Windows 7SP1安裝完成後若是使用Windows Update來更新補丁會發現得有差很少200個補丁須要去安裝。

這就是這麼多年曆史積累下的各類組件的加強，能夠說今天安裝完成全部補丁的Windows 7 SP1和當年發佈的Windows 7 SP1簡直是天壤之別的兩個產品。

這個時候就有朋友會說了，我如今若是真的把一個乾淨的Windows 7 SP1進行補丁升級，可能幾天都不能完成，下載補丁過程很慢。其實這個緣由很簡單，由於你的系統太舊了、底層部分組件太老了。Windows 7 SP1中，系統自帶的Windows Updage Agent已經不匹配如今的Windows Update系統，致使其遍歷補丁速度很是慢（曾經我等過2天，說多了都是淚）因此爲了加速這個過程，咱們須要先手動在的系統上安裝以下兩個補丁：

3020369

3172605 

#請先安裝3020369，3020369是3172605的前序補丁。

這兩補丁安裝好了之後，經過Windows Update就會很是快的檢索、遍歷出須要安裝的補丁，後續的下載速度就徹底看網速了。

固然環境裏面若是有WSUS/SCCM之類的管理軟件就更爲簡單了，直接用其推送。因此在企業級環境中，強烈推薦管理員部署這類平臺。其中WUSU是MS一個免費組件，簡單好用。

那麼說完補丁，這個只是完成了一個基礎，那麼接下來就須要對Windows系統進行優化。其實說是優化（這裏不存在什麼加速這種事情），在我看來更準確的描述實際上是對於Windows系統的「裁剪」，意思就是說把Windows系統在虛擬桌面體系中不須要的組件、服務、策略給刪除、停用、調整。

#這個動做其實沒有一個標準值，不少是基於不一樣用戶應用再來不斷調整優化。這裏只是列出我的一些經驗。

從我我的來講，個人基礎鏡像會作以下幾個操做：

1. 添加刪除組件裏面，刪除除了: .net framework 3.5,Windows Media Player, IE 以外的全部其餘組件

2. 設定Pagefile大小（特別是在物理內存大於4G以上的場景中）

3. 停用沒有必要使用的Service,

4. 停用沒有必要使用的Schedule Task,

5. 停用包括Aero、鼠標在內的特效等，
   

停用的Service、Schedule Task這個確實是個技術活，過去這個操做都是須要靠經驗或者參考一些KB來設定。我曾經也作個一個PSH腳本，來完成相應工做。如今Citrix提供了一個叫Citrix Optimizer的VDA鏡像優化工具，這樣能夠極大的方便咱們一線人員的使用。（期盼很久啊。。。）

https://support.citrix.com/article/CTX224676

目前此工具支持Windows7,10, Server 2012, 2016。默認自帶了相關模板，後續相信會不斷完善給予更好的支持。

#Tools不是萬能的，請根據實際狀況調整。

完成這個以後，對於常規使用來講，VDA的母鏡像就已經能夠交付使用了。可是咱們都知道通常狀況下咱們會給用戶都是Administrator即管理員權限。其實在任何系統中，當你擁有了系統管理員這個權限，控制就會變的很難作，爲何你們都說Linux系統穩定，其實有一個很重要緣由是在Linux設計中，其管理體系在默認狀況下，用戶是沒有Root即超管權限的，那麼其核心的系統就不會受到用戶側的各類操做的影響，進而減小系統的不穩定性。

但是在Windows體系中，不管是從系統的設計邏輯、用戶使用習慣和應用的特色，咱們是很難不給予用戶Administrators的權限，那麼就致使因爲用戶的誤操做、應用相互干擾致使虛擬桌面沒法正常工做。好比說有用戶本身修改IP地址，自行刪除一些桌面Agent，胡亂修改系統變量等等不一而足。

而過去，爲了限制用戶的操做，通常都須要藉助GPO來完成這種操做，可是對於不少非MS背景的同窗來講這個太複雜了。

因此Citrix經過一個叫WEM（Workspace Environment Management）來實現對於系統環境的設定。

好比，我經過設定限制用戶不能使用Windows Update，Help這些功能。

#補丁應該在交付給用戶前就安裝好，而不是讓用戶去安裝各類補丁。

限制用戶不能使用控制面板或者面板中的一些特定組件。

這樣來講，在給予用戶超級管理員權限狀況下，也能合理控制用戶，可使用整個桌面，以及定製化後的系統，這樣纔是最適合每一個不一樣客戶的系統。

其實從我我的的角度來講，虛擬桌面這種產品他仍是須要和用戶的管理體系對接，徹底開放、徹底不受控、不考慮標準化，也許初期使用沒問題，到了中後期，越多不受控的虛擬桌面，對於用戶方的運維壓力將是前所未有。太多的用戶跟咱們反饋過，若是初期不受控，後面的運維工做真是一晚上回到解放前。

#在這裏其實要澄清一個觀點，不少人說作標準化桌面必定要用標準/池化/Non-persistent桌面，其實我我的觀點卻是不必定。你能夠經過技術手段來作這種重啓即還原的桌面，也能夠給用戶徹底自控的專有/Persistent桌面，可是配套上企業的管理體系，好比：運行安裝的軟件是公司統一規定好的，安裝非此清單中的軟件就是違規，經過管理體系來進行控制與管理。

從我我的來講，我很是推崇虛擬桌面對於IT前端運維的管理、控制特性。操做層面推崇的是一種技術+管理融通的方式，而不是死板的只使用技術來達到最終結果。

以上這些信息對於Windows 7 SP1， Windows Server 2012都是適用的，可是對於Windows 10卻不徹底適用。這個主要的區別仍是在Windows 10系統自身的版本更新的體系有關。

相信你們都知道，過去不管是Windows 客戶端系統，7,8/8.1仍是服務器系統2008R2, 2012R2都是經過Service Pack+hotfix方式來更新系統。

可是到了Windows 10，基本上每半年到一年，都會有一個完整的版本分發出來。每次新的版本發佈都會帶來大量的新功能、新組件、新服務。其實這也是MS爲了規避過去那種Service Pack+hotfix的更新帶來對於新功能的不能快速迭代的一種新時代的新方法。畢竟當前的IT發展，敏捷開發、快速迭代是一個大趨勢。

從這張圖咱們能夠看出目前發佈的3個主要的Windows 10版本，其Schedule Task，Service，Default App的數量都是會有一些不一樣，那麼進而致使其對於CPU/RAM等系統資源消耗量的不一樣。

那麼問題來了，若是咱們要使用Windows 10做爲VDA的時候，咱們應該選擇哪一個版本，RTM，Anniversary 或者Creator版本。（具體版本號請你們自行檢索）

其實MS在設計Windows 10體系的時候就有考慮過這個問題，因此除了過去咱們熟識的專業版、企業版以外，他還引入新的Service options,

https://blogs.technet.microsoft.com/enterprisemobility/2016/01/06/navigating-the-windows-10-servicing-options/

其中Inside Program相似於BETA版，CB就是最新版本，CBB是一個穩定版本分支，LTSB則是以穩定爲主。

因此MS推薦在企業級場景中，是使用CBB和LTSB這兩種版本，我的用戶推薦Inside和CB版本。好比我我的電腦目前就是使用最新的CB版本1703。

那麼在當下，哪些版本是CBB和LTSB版本呢。在以下的MS網站，MS給出了每一個版本的狀態，

https://technet.microsoft.com/en-us/windows/release-info.aspx

#請注意，這裏Microsoft Recommend推薦的1703是其最新的版本，這個主要是對於我的用戶使用。可是在VDA/虛擬桌面場景中，咱們須要參考MS推薦優先選擇CBB/LTSB版本。

因此我的建議在虛擬桌面場景中，目前比較合適的選擇是：1607，1511，1507這三個版本。

以上信息，僅表明我的觀點，供參考。