桌面虚拟化技术介绍

《桌面虚拟化技术介绍》由会员分享，可在线阅读，更多相关《桌面虚拟化技术介绍（21页珍藏版）》请在装配图网上搜索。

1、目录1 Microsoft Enterprise Desktop Virtualization (MED-V) 简介1.1业务用例1.2主要功能2 高级体系结构3 虚拟镜像生命周期概览4 MED-V 客户端33579114.1身份验证与策略实施114.2虚拟机操作114.3 虚拟镜像加密124.4脱机模式124.5 远程访问与非托管端点124.6公开的应用程序和菜单 一致的桌面用户体验134.7 Web 浏览器重定向134.8打印144.9文件传输144.10 复制/粘贴控制145 MED-V 客户端部署155.1客户端部署和镜像交付方法 155.2自定义的初次设置155.3MED-V 客户端

2、升级156 虚拟镜像管理166.1 工作区类型166.2租期与过期 167 MED-V 镜像管理 177.1 TrimTransfer 技术188 MED-V 管理服务器198.1工作区策略198.2 事件数据库与 MED-V 仪表板 199 MED-V 企业体系结构209.1DMZ 结构209.2可伸缩性和多位置209.3高可用性 201 Microsoft Enterprise Desktop Virtualization（MED-V）简介Microsoft® Enterprise Desktop Virtualization（MED-V）增强了 Virtual PC 镜像在 W

3、indows® 桌面上的部署和管理，还提供了 Virtual PC 环境的无缝用户体验，独立于本地桌面配置和操作系统（OS）。MED-V 利用 Microsoft Virtual PC 提供桌面虚拟化企业解决方案。利用 MED-V，您可在任何 Windows 桌面上轻松创建、交付和管理企业 Virtual PC 镜像。MED-V 是 Microsoft Desktop Optimization Pack 的一个完整组成部分，这种动态解决方案适合软件保障客户，可帮助降低应用程序部署成本，支持将应用程序作为服务交付，并帮助更好地管理和控制企业桌面环境。1.1 业务用例l 应用于解决 OS

4、 不兼容问题并加速升级到新 OS 的过程：旧版应用程序与较新版本的 Microsoft Windows 之间的不兼容问题往往是妨碍企业升级到最新版本 Windows（如 Windows Vista）的一大阻碍，使企业无法利用最新版本提供的众多新特性和增强。MED-V 可利用运行旧版本 OS（如 Windows XP 或 Windows 2000）的 Virtual PC 交付这些应用程序，从而允许管理员切断计算机底层硬件与操作系统之间的密切关联，使用户能够受益于最新版本的 Windows。从用户的角度而言，这些应用程序可以通过“开始”菜单访问，与位于与普通应用程序相同的位置，因而用户体验仅存在

5、最小限度的改变。MICROSOFT DESKTOP OPTIMIZATION PACK194l 员工管理的台式机和便携计算机：用户（如使用计算机处理个人和工作事项的远程工作者）可受益于运行标准 PC 操作系统环境以外的独立虚拟操作系统的能力。举例来说，一名用户可在个人便携计算机（主机）或家用计算机上使用 Windows Vista，并且使用 Virtual PC 在虚拟机（来宾）上运行企业桌面，在同一个物理设备上同步运行这两种用途不同的操作系统。MED-V 允许企业集中管理和控制所有这些虚拟企业桌面，并应用策略甚至可应用到非企业设备之上。这有助于消除 IT 控制和用户灵活性之间存在的一贯矛盾，

6、并且可在企业环境中支持员工拥有的便携计算机。l 灵活的企业计算：在非托管设备上交付企业管理的 Virtual PC，从而提高企业客户端计算的可管理性和灵活性： 承包商和第三方：在第三方管理的主机之上（也就是说，并非由用户或企业 IT 管理）提供企业管理的 IT 环境。可通过 DVD、USB 或 Web 提供部署包（包括虚拟化软件和 Virtual PC 镜像）。 这提高了承包商在现场或海外所用计算机的可用性和可管理性，更简化了不同 IT 环境的整 合（例如，针对新分支办公室或 M&A 新子公司）。 业务连续性：允许 IT 在任何 Windows 桌面上迅速重设企业管理的虚拟桌面，而与硬

7、件或操作系统配置无关。在出现妨碍员工前往办公室的意外事件时，支持经济有效的桌面灾难恢复计划，而不必依赖于服务器，也不必一直维护恢复中心。 家庭办公和便携企业计算（v1 中提供了部分支持）：用户可在企业桌面环境中获得全面的移动性。可通过 USB 驱动器随身携带 Virtual PC，并在任何主机（包括家用计算机）上使用，而企业控制和可管理性仍可得到维护，应用于企业桌面的所有策略仍可得到实施。Virtual PC 直接通过 USB 驱动器运行，所有用户数据和设置将随 USB 漫游。MICROSOFT DESKTOP OPTIMIZATION PACK61.2 主要功能MED-V 在 Virtual

8、 PC 的基础上添加了四个额外的组件，支持桌面虚拟化的企业部署：l 虚拟镜像存储库与交付 MED-V 提供了在用户的台式计算机上存储和交付标准 Virtual PC 镜像的机制。这些机制简化了从中央位置创建、测试、部署和维护虚拟镜像的过程。 虚拟镜像创建和测试控制台，以及虚拟镜像中央存储库 自动安装包创建向导，以便通过可移动的介质（例如，DVD、USB key）进行远程部署 允许用户使用标准 Web 基础结构（IIS 服务器）检索虚拟镜像的客户端组件 高效、节省带宽的 Trim Transfer 机制，用于通过高速 LAN 和低速 WAN 连接交付和更新虚拟镜像 自动化虚拟机初次设置的机制，例

9、如，指定唯一的计算机名、执行初始网络设置、加入域以及其他必要的部署步骤l 集中管理与监控 MED-V 提供了管理部署在企业内台式计算机之上的虚拟机的整个生命周期的手段。MED-V 提供的集中管理与监控功能包括： 中央管理服务器，可用于控制已部署在台式计算机上的虚拟机。 与 Microsoft Active Directory® Domain Services 集成，支持根据组成员或用户身份提供虚拟镜像。 在访问虚拟镜像之前进行用户身份验证（无论主机处于联机还是脱机状态）。 包含所有客户端活动和事件的中央数据库，使支持人员可以更轻松地远程监控问题情况，并简化故障排除。l 使用策略和数据

10、传输控制 MED-V 客户端实施企业使用策略、对虚拟镜像的访问权限和数据传输权限： 能够为虚拟机配置过期日期，并指定虚拟机脱机使用的时限。 能够配置虚拟机和端点之间的入站和出站数据传输无论数据传输是通过复制/粘贴、文件传输还是打印执行。 能够自动重定向指定 Web 站点（例如企业内部网或需要旧版浏览器的站点），从端点浏览器重定向到虚拟机内的浏览器。无缝的最终用户体验 - MED-V 可配置为提供无缝体验，使用户注意不到在后台运行的虚拟机。这从整体上减少了部署 Virtual PC 镜像所需的培训： 对端点透明的部署流程，通过用户友好的托盘菜单提供简化的虚拟机使用过程。 公开的应用程序：在虚拟机

11、中安装的应用程序可通过用户的“开始”菜单使用。 不可见的虚拟机：在 Virtual PC 中运行的应用程序无缝地整合到用户桌面之中，与本地应用程序出现在相同的位置。52 高级体系结构基于收购的 Kidaro 技术开发出来的 MED-V 解决方案包括：l 管理员定义的虚拟机（1），封装企业桌面环境：在标准桌面上常用的 OS、企业应用程序和可选的管理工具。l 镜像存储库（2），在标准 Web 服务器上存储所有虚拟镜像，支持虚拟镜像版本管理、客户端认证的镜像检索，并通过 TrimTransfer 技术提供高效下载和更新。l 管理服务器（3），根据 Microsoft Active Directory

12、 用户和组将镜像存储库中的虚拟镜像关联到通过身份验证的用户，并分配使用策略和数据传输控制权限。管理服务器还会将客户端事件聚合到中央数据库中，以便监控和报告。l 统一的管理控制台（4），使管理员能够控制所有管理服务器和镜像存储库功能。MICROSOFT DESKTOP OPTIMIZATION PACK78l 最终用户客户端（5）提供两项主要功能：1. 根据管理员定义的策略管理虚拟机操作（即启动、停止、挂起）和生命周期。2. 无缝地使虚拟机中安装的应用程序可通过“开始”菜单使用，并整合到用户桌面之中。客户端和服务器（管理服务器与镜像存储库）之间的所有通信都是在标准 HTTPs 信道上进行的。对于

13、企业网络以外的最终用户，可在 DMZ 上部署标准网关，使其能够远程访问管理服务器和镜像存储库。MICROSOFT DESKTOP OPTIMIZATION PACKMICROSOFT DESKTOP OPTIMIZATION PACK103 虚拟镜像生命周期概览MED-V 虚拟镜像的典型生命周期如下所述：l 在 Microsoft Virtual PC 内创建虚拟镜像，通过 MED-V 管理控制台进行测试，并将其载入 MED-V 镜像存储库。l 定义 MED-V 工作区。 工作区就是一个虚拟镜像，与一组使用策略相关联，并提供给特定用户： 创建通过最终用户的“开始”菜单使用的应用程序列表。 定义

14、应在虚拟机浏览器内查看的 Web 站点。 将工作区提供给 Active Directory 用户和组。 为各用户和组设置使用策略（例如，过期、脱机工作的权限）和数据传输权限（文件传输、复制/粘贴和打印）。l 部署 MED-V 客户端： 在组织内部部署 使用电子软件分发工具，例如 System Center Configuration Manager。 通过 Web 远程部署 使用以自解压归档文件形式提供的 MED-V“一次单击”式安装包。 安装介质 提供 CD、DVD 或 USB 驱动器，在插入时即可安装 MED-V 客户端。无论初始部署方式如何，MED-V 客户端均可配置为通过 LAN 或

15、WAN 从管理员定义的位置自动检索软件升级。l 交付虚拟镜像： 通过网络 使用上述任何方法安装了 MED-V 客户端之后，即可使用标准 HTTP/HTTPs 信道通过 LAN 或 WAN 检索虚拟镜像。TrimTransfer 技术可提高下载速度并减少所需带宽，后文将具体说明。 通过可移动的介质（例如 DVD） 在将安装介质提供给最终用户时，可以在介质上添加虚拟镜像。在安装过程中，虚拟镜像将复制到本地驱动器上，以备在用户初次运行 MED-V 客户端时使用。 USB 驱动器上的便携程序包 与可移动的介质相似，其中也包括 MED-V 客户端和虚拟镜像，但此时虚拟机直接从 USB 驱动器运行，不会部

16、署到设备本地。通过这种方法，用户的企业应用程序和资源都位于一个虚拟镜像内，并且可随其在端点之间漫游。l 最终用户开始工作 MED-V 管理服务器对用户进行身份验证，随后用户即可在虚拟机内开始工作。用户通过初次联机身份验证之后，如果管理员允许，也可进行脱机工作。l 管理和更新工作区 管理控制台允许管理员轻松更新使用策略 、将工作区提供给更多用户、为现有用户取消提供更新、自行更新虚拟镜像。所有更新都将在相关用户联机时自动分发给这些用户。9MICROSOFT DESKTOP OPTIMIZATION PACKMICROSOFT DESKTOP OPTIMIZATION PACK124 MED-V 客

17、户端4.1 身份验证与策略实施MED-V 客户端要求身份验证，这是为了确保只有经过授权的用户才能访问 MED-V 虚拟镜像。这样的验证是根据管理服务器执行的，在 Active Directory 中查询用户和组信息。MED-V 利用 Active Directory 安全策略。如果一个帐户在用户目录中被禁用或被锁定（例如，如果用户 3 次键入错误的密码），该用户就不允许启动工作区。此外，如果密码即将过期，用户将在身份验证完成之前看到更改密码的提示。身份验证和授权流程完成之后，MED-V 客户端就会查询 MED-V 管理服务器，获取最新策略和设置。这种操作可确保端点使用的是最新的工作区，并允许管

18、理员控制和监控活动的用户，后文将详细说明。用于验证 MED-V 客户端的域凭据也可用于登录到虚拟机内的 Windows，使用户无需重复键入域凭据（假设域凭据是相同的）。但用户仍需为 MED-V 客户端进行验证，即便端点主机已使用相同的凭据登录也是如此。用户可选择保存凭据，以便在下一次希望启动工作区时自动为 MED-V 客户端提供凭据。在虚拟机运行时，在预定义的空闲时间之后或当设备进入休眠或睡眠模式时，虚拟机将进入“锁定”模式。只有经过验证的用户在输入正确的密码后才能解锁虚拟机并继续工作。MED-V v1 仅支持基于 Active Directory 域凭据的身份验证（用户名和密码）。未来的版本

19、中还将包括双重身份验证（例如，智能卡证书）。4.2 虚拟机操作MED-V 利用行业标准虚拟引擎 Microsoft Virtual PC 在端点本地运行虚拟机。MED-V 客户端控制虚拟机管理的所有方面，包括检索或更新虚拟镜像；为特定用户或设备自定义虚拟机；初始化、挂起或终止虚拟机会话；监控虚拟引擎工作是否正常（“监视程序”）。最终用户仍然不会注意到虚拟机在后台运行。MED-V 客户端可配置为在每次工作会话结束时或用户注销主机工作站时获取虚拟机的一份快照（类似于便携计算机的睡眠模式）。这可缩短重新初始化虚拟机的全部功能所需的时间。虚拟机像上文所述这样挂起时，如果另外一名经过授权的用户希望使用虚

20、拟机，它将重新启动（经过用户确认）。现有会话将丢失，这与物理设备上的 Windows 行为完全相同。4.3 虚拟镜像加密为了保护虚拟镜像免于未经授权的使用（即被未通过身份验证的用户使用，或不符合管理员定义的使用策略），虚拟镜像在载入镜像存储库时将加密。加密密钥在服务器上针对每一个镜像生成，并安全地传输给通过身份验证的客户端。虚拟镜像以加密的形式保留在端点上，当虚拟机运行时，块将“动态”解密/加密。4.4 脱机模式如果用户经过授权，则可脱机使用虚拟机，策略文件和加密密钥将在其初次通过联机身份验证后缓存在本地。在使用 USB 驱动器上的便携包时，缓存内容是存储在 USB 驱动器上的，而非本地驱动器

21、。其他一些机制也会在用户的身份验证尝试失败达到一定次数时阻止用户。此外，当用户帐户在 Active Directory 中被禁用、被锁定、过期或帐户密码更改时，MED-V 会删除脱机缓存的凭据。脱机权限可限制为在预定义的期间内有效，过期后用户必须重新连接。这确保了用户能够持续拥有最新权限，并为顾问或第三方实施可选的过期或取消提供设置（参见“租期与过期”）。4.5 远程访问与非托管端点使用 MED-V 时（特别是在非企业设备上或在企业网络以外），必须牢记，虚拟机上的来宾 OS 依赖于主机 OS 的安全性。主机 OS 上的恶意软件很可能会影响来宾 OS。因而，在非托管系统上执行企业虚拟机之前，建议

22、对主机 OS 进行扫描。在连接到企业网络之前，管理员应采用在非托管系统上执行的 VPN 客户端常用的安全性指导原则和修正策略。为了实现主机 OS 扫描，MED-V 客户端支持执行外部脚本或可执行文件的能力，仅在命令成功通过后才允许来宾 OS 运行。就远程访问客户端而言（例如 VPN 客户端），可将其安装在虚拟机内部，仅允许来自虚拟机内部的企业网络连接，也可安装在端点本身之上。11144.6 公开的应用程序和菜单 一致的桌面用户体验管理员可在虚拟机中“发布”应用程序，并使最终用户可通过主机的“开始”菜单使用这些应用程序。虚拟机“开始”菜单的全部子菜单均可发布。这些应用程序将直接通过“开始”菜单或

23、桌面快捷方式启动（1）；并与本地应用程序出现在同一位置，但可以选择使用不同颜色的框架作为区分（2）。然而，虚拟机本身并不出现，这简化了用户体验，避免了用户工作流的改变。推荐大多数用户使用“单一桌面”模式，这种做法能够简化培训和工作流程。但若较高级的用户希望明确区分 UI，管理员也可将虚拟机设置为在“全桌面”模式下工作。在这种模式下，用户可在物理桌面和虚拟机桌面之间来回切换。4.7 Web 浏览器重定向对于 web 应用程序，管理员可定义一组 Web 站点（依据域名后缀或 IP 前缀的允许/拒绝列表），使这组站点在虚拟机中运行的浏览器内启动。企业 Web 站点或不兼容的 Web 应用程序可在虚拟

24、机内启动，而其他所有站点在主机浏览器中显示。MED-V 客户端可自动管理浏览器重定向，为最终用户提供无缝的浏览体验。4.8 打印在 MED-V 策略允许的情况下，用户可从工作区应用程序（位于来宾 OS 中）打印到任何本地安装的打印机，而无需在虚拟机内安装任何驱动程序。4.9 文件传输用户可根据管理员定义的权限，选择在虚拟机和端点之间传输文件。文件传输基于集中定义的筛选器，允许指定文件类型的入站/出站传输，并且可在传输目标处进行防病毒扫描。4.10 复制/粘贴控制工作区与本地应用程序之间的复制/粘贴操作需服从管理策略。此类操作可在双向或单向上允许或拒绝。但虚拟机内部以及端点主机应用程序之间的所有

25、复制/粘贴操作都是允许的。13 5 MED-V 客户端部署5.1 客户端部署和镜像交付方法MED-V 可通过多种方法部署：l 软件分发系统 MED-V 客户端安装基于标准 Windows MSI。因此，在内部部署 MED-V 时，管理员可使用现有的任何软件分发系统。MED-V MSI 包中不包括任何需要独立部署到所有端点的 Virtual PC 软件，也不包括虚拟镜像，虚拟镜像需在安装后根据用户的相应策略从镜像存储库下载。l DVD 或 USB 驱动器提供的“一次单击”式安装包 管理员可为最终用户提供包括 MED-V 客户端、Microsoft Virtual PC 和虚拟镜像的安装包。此过程

26、几乎不需要用户干预，可自动安装将 MED-V 部署到本地驱动器所需的一切。l Web 管理员可将 MED-V 安装包（通常不含虚拟镜像）放置在可通过 Web 访问的服务器上，并将用户引向下载页面。在安装完成后，MED-V 客户端将自动从 MED-V 管理服务器检索相应的工作区策略，并从 MED-V 镜像存储库下载虚拟镜像。l USB 驱动器上的便携包 管理员可为最终用户提供便携程序包。与安装包类似，它包含虚拟镜像，但不会将其部署到本地驱动器上。Virtual PC 直接从 USB 驱动器运行虚拟镜像，所有更改都将保存在该驱动器上，这使用户能够携带该虚拟镜像在端点间漫游。5.2 自定义的初次设置

27、MED-V 允许管理员为每次虚拟镜像部署自定义初次设置。此过程可包括为虚拟机分配一个唯一的计算机名（根据用户名、端点参数或随机 ID 来确定）、运行 Sysprep 为该虚拟机分配一个唯一的 SID、将虚拟机添加到企业 Active Directory 域，也可运行其他任何自定义脚本。MED-V 客户端将为最终用户自动、透明地处理初次设置，包括重复失败步骤或整个流程，并在需要进行故障排除时报告给管理服务器。5.3 MED-V 客户端升级对于上述任何方法，MED-V 客户端都支持通过网络进行自动客户端升级。只要管理员使用新客户端版本更新了 MED-V 管理服务器，所有客户端都会安全地下载并安装新

28、版本。 15166 虚拟镜像管理6.1 工作区类型MED-V 支持两种管理和更新虚拟镜像的方法：? 域管理的虚拟机 MED-V 允许管理员按照管理标准企业设备的方式管理虚拟机：使用现有工具（组策略、电子软件分发等）修补、管理和更新。在初次设置期间，虚拟机将成为企业域的一部分。? 自我清理（“可还原”）的虚拟机 MED-V 提供了一种独特的方法，可交付管理良好、易于支持的桌面环境。它利用虚拟化的硬件独立性，为多名用户维护相同的镜像。用户对应用程序或 OS 做出的所有更改都将在 Virtual PC 会话结束时被放弃，虚拟机还原到管理员在端点初次设置过程中自定义并打包的初始镜像。适用于“主虚拟镜像

29、”的更新、补丁、新应用程序和设置更改可作为新版本的镜像上传到 MED-V 镜像存储库，并使用 TrimTransfer 技术交付给所有端点，而不必独立更新各端点。在使用自我清理虚拟机时，这一优势将得到最大的发挥。6.2 租期与过期在员工离开组织或承包商项目结束时，就需要灵活的镜像生命周期控制。管理员可预先配置租期，在指定日期后暂停对企业虚拟机的任何访问（包括应用程序、资源甚至是本地存储的数据）。此类租期可延长，此外，虚拟机也可设置为使用数字粉碎（删除加密密钥）或彻底删除来完全终止虚拟机磁盘。MICROSOFT DESKTOP OPTIMIZATION PACK7 MED-V 镜像管理MED-V

30、 镜像存储库包含所有可用的虚拟机镜像。MED-V 管理控制台提供了一种轻松简便的方法，可创建、管理、更新镜像或从 MED-V 镜像存储库中删除镜像。在管理员提供新虚拟机或更新现有虚拟机时，MED-V 管理服务器会检测到镜像存储库中的更改，在 MED-V 客户端下一次查询策略时发出通知，指导它们从相应的镜像存储库中检索最新的虚拟机。交付是使用 MED-V TrimTransfer 技术通过网络实现的。另外，虚拟机也可通过 DVD 或 USB 磁盘交付。镜像存储库使用 IIS Web 服务器，因而利用了标准的 Web 可伸缩性和高可用性基础结构。要改进下载性能，组织可在分支办公室或远程位置创建镜像

31、存储库的副本。管理员可选择下载是否通过标准 HTTP/HTTPs 会话完成。17MICROSOFT DESKTOP OPTIMIZATION PACK187.1 TrimTransfer 技术TrimTransfer 重复消除技术显著加速了镜像的交付，并节约了将一个虚拟镜像传输给多个最终用户所需的网络带宽。它使用端点本地驱动器的数据建立镜像存储库中虚拟镜像的副本，而无需下载整个镜像。通常，端点本地驱动器中已有虚拟镜像中的大量数据块（例如系统和应用程序文件），这是由于端点和虚拟机运行的都是相同或类似的 OS 和应用程序。因而，TrimTransfer 组件在初次运行时将扫描并索引本地驱动器，并使

32、用本地数据块构建虚拟镜像的本地副本，而不必从镜像存储库中下载。通过使用散列函数，即可确保此过程中使用的本地数据块与所需虚拟镜像中对应的数据块完全相同。类似地，在更新到新版本的镜像时（例如，管理员希望分发新应用程序或补丁时），仅需下载新镜像元素（“增量”），而不必下载整个虚拟机，这节省了所需的网络带宽和交付时间甚至可能优于初始交付时的情况。MICROSOFT DESKTOP OPTIMIZATION PACK8 MED-V 管理服务器MED-V 管理服务器存储和管理所有 MED-V 配置，包括用户策略。它可安装在 MS Windows 2008 Server 之上。通过 MED-V 管理控制台可

33、控制所有服务器功能，而这个管理控制台是一个独立客户端应用程序。所有 MED-V 客户端在初始化、身份验证和检索最近更新策略时都要连接到 MED-V 管理服务器。所有会话（由 MED-V 客户端或管理控制台发起）均通过 HTTP 或 HTTPS（具体取决于服务器配置）传输。8.1 工作区策略使用 MED-V 管理控制台，管理员可创建新策略，也可更改 MED-V 管理服务器上存储的现有策略。任何更改都将被所有联机客户端自动获取。脱机客户端将在连接时更新。所有策略都使用在服务器安装时生成的私钥标记；MED-V 客户端将使用初次与服务器通信时获得的公钥验证检索到的所有策略的真实性和完整性。8.2 事件

34、数据库和 MED-V 仪表板MED-V 管理服务器聚合来自所有 MED-V 客户端的事件。此类事件包括系统通知和 MED-V 工作区生命周期监控结果（工作区启动、停止、因磁盘空间不足而启动失败等）。所有事件都存储在一个由管理员定义的数据库中，例如，Microsoft SQL Server® 2005。MED-V 管理控制台提供了一个报告生成器，它能按照日期和用户筛选事件。此外还提供了一个仪表板状态报告，实现对所有已安装客户端的监控，包括机器名称、用户名、脱机/联机指示、客户端版本、镜像名称、镜像版本等。客户端状态使管理员能够实时监控虚拟镜像的下载或更新进度。19209 MED-V 企

35、业体系结构9.1 DMZ 结构对于企业网络外部的最终用户来说，可在 DMZ 中部署标准网关，允许其远程访问管理服务器和镜像存储库。由于与管理服务器和镜像服务器的通信基于 HTTP/HTTPs，因而该网关可用作用户身份验证的端点（基本或集成模式）。MED-V 客户端在每一个请求的 HTTP 报头中提供用户名和密码。9.2 可伸缩性和多位置典型的 MED-V 管理服务器根据所使用的具体硬件情况，可支持数以千计的用户。客户端-服务器通信是轻量级的：客户端往往配置为每隔 15 分钟轮询服务器中的策略，每 4 小时轮询镜像更新。在客户端-服务器交互中，唯一负载较重的操作是在提供新镜像时出现的，此时，众多

36、客户端分别检索数百兆字节的数据。镜像存储库必须与管理服务器位于相同的服务器上，因而这也会给管理服务器带来沉重的负担。为了支持向上扩展，可考虑为镜像存储库添加额外的交付点（即缓存服务器）。由于需要为大量用户交付相同的镜像或镜像更新，所以缓存非常有效，而且可以保证管理服务器的低负载。为提高下载速度、有效优化带宽并进一步平衡负载，可将镜像服务器放置在多个地理位置。MED-V 客户端可配置为从能够提供最优效果的位置检索镜像或更新；也可利用 DNS 解析将 MED-V 客户端定位到最佳可用位置。9.3 高可用性MED-V 客户端的操作独立于 MED-V 服务器。如果管理服务器出现故障或停止响应，所有正在

37、运行工作区的客户端仍可继续工作。尝试启动新工作区的用户将以脱机模式启动，策略更改和镜像更新不可用。但为了确保服务器故障的快速恢复，MED-V 支持一种故障转移结构，在第三方高可用性群集中放置两个相同的管理服务器：一个服务器是主动的，另一个是被动的。如果主动服务器发生故障，群集将自动切换到被动服务器。使用这种设置时，所有服务器资源（策略文件、设置、虚拟机镜像和报告数据库）都将从管理服务器中分离出来，放置在外部高可用性/群集文件系统中。21此稿为翻译文档，仅供参考。本文档为初版，在所述软件的最终商业发布版发布之前可能会有大幅度修改。本文档中所包含的信息仅代表 Microsoft Corporati

38、on 在本文档发布之日对相关问题的最新观点。由于 Microsoft 必须响应不断变化的市场环境，因而此类信息不应解释为 Microsoft 的任何承诺，Microsoft 不保证此处所述信息在发布之后的准确性。本白皮书仅用于提供信息。Microsoft 对于本文档中所述信息不做任何明示或暗示的担保。用户需自行负责符合所有适用的版权法律。对于不受版权限制的权利，未经 Microsoft Corporation 的事先书面许可，不得将本文档中的任何部分复制、存储或引入检索系统或以任何形式、任何手段（电子、实物、影印、录音或其他方式）、为任何目的进行分发。Microsoft 可能有专利、专利申请、商标、版权或其他知识产权涉及本文档中的主题。若未获得 Microsoft 明确表述的书面许可协议，本文档中的内容不会向您提供任何有关此类专利、商标、版权或其他知识产权的许可。© 2008 Microsoft Corporation. 保留所有权利。Microsoft、Windows、Windows Vista、Active Directory、Microsoft SQL Server 均为 Microsoft Corporation 在美国和/或其他国家/地区的注册商标或商标。本文提到的实际公司和产品的名称可能是其各自所有者的商标。