Windows VDA定制/優(yōu)化/版本選擇之我感

平時(shí)做桌面項(xiàng)目的時(shí)候，很多工程師都在問我一個(gè)問題，為什么有些項(xiàng)目的桌面那個(gè)啟動(dòng)、登錄速度很快，他的PPT播放、3D的效果比我這個(gè)好？但對(duì)比下他的硬件配置還不如我。

這類很明顯帶有最終用戶使用體驗(yàn)的問題，我相信無論是做哪家桌面的工程技術(shù)人員其實(shí)都有遇到，當(dāng)然這里面其實(shí)牽涉到的技術(shù)面有不少，從系統(tǒng)優(yōu)化、鏈路優(yōu)化、個(gè)人數(shù)據(jù)訪問、AD系統(tǒng)集成、認(rèn)證等等不一而足，今天我主要想來說在虛擬桌面中每個(gè)用戶、工程師都會(huì)用到的Windows系統(tǒng)本身。今天討論的VDA或者我們叫做虛擬桌面/云桌面，這里主要是說交付給最終用戶使用的那個(gè)“東西”，不過多涉及到后臺(tái)的各種交付、策略配置組件、客戶端等等。

在現(xiàn)在的虛擬桌面市場(chǎng)中，大家用的最多的是Windows 7，其次是Windows Server 2008 R/2012 R2，以及現(xiàn)在慢慢開始被大家接受的Windows 10。

其實(shí)無論是哪個(gè)版本的操作系統(tǒng)，我們?cè)诮桓督o最終用戶之前一定要對(duì)這個(gè)VDA系統(tǒng)做一次定制/優(yōu)化。否則在我看來這就是對(duì)于客戶的不尊重和不專業(yè)。

為什么這么說呢？其實(shí)稍稍了解Windows系統(tǒng)的朋友都知道，微軟的Windows產(chǎn)品每一個(gè)大版本出來之后，RTM版基本沒太多人上生產(chǎn)環(huán)境，一般都要等到出SP1之后才會(huì)逐步在市場(chǎng)中推廣開來。做微軟的圈子的人肯定都知道一句玩笑話：MS東西沒出SP1你敢用嗎？

這個(gè)也從一個(gè)側(cè)面Service Pack/hotfix這種東西對(duì)于系統(tǒng)穩(wěn)定性提升有多重要。那我們就來看看我們常用的Windows 7的發(fā)布?xì)v程：

微軟于2009年10月22日正式發(fā)布了Windows 7；2011年2月22日發(fā)布了Windows 7 SP1

不查不知道，突然發(fā)覺Windows 7都已經(jīng)發(fā)布8年了，SP1版本都6年半了。大家可以自己感受一下過去10年IT的變化之快速，如果今天拿著一個(gè)2011年出版的Windows 7 SP1上生產(chǎn)，您覺得這個(gè)符合時(shí)代的發(fā)展嗎？

就好比上個(gè)月發(fā)生的“WannCry”勒索病毒，病毒發(fā)生后其實(shí)最正確的方法就是按照MS的要求和建議安裝MS17-010的補(bǔ)?。P(guān)于這個(gè)病毒和防護(hù)措施說明，請(qǐng)見MS MVP浩哥的說明，抵抗勒索病毒的正確姿勢(shì)）。不少非IT圈的朋友問我，為啥這個(gè)最簡(jiǎn)單有效的辦法，平時(shí)我們的IT都不去做。我當(dāng)時(shí)的回復(fù)就是：這個(gè)太low。

君不見現(xiàn)在做IT的公司如果說自己不是做云計(jì)算、大數(shù)據(jù)、iot、ML真是都不好意思出門見人。但是IT系統(tǒng)維護(hù)這些最基礎(chǔ)的事情缺往往被人所忽視。其實(shí)微軟的補(bǔ)丁更新系統(tǒng)可以說獨(dú)步整個(gè)IT界，別的廠商在這個(gè)層面上基本不能望其項(xiàng)背。

#可能有人會(huì)說這是Windows系統(tǒng)寫的差，所以很多漏洞。其實(shí)無論是Linux，MAC，Android系統(tǒng)都有漏洞，而且數(shù)量一點(diǎn)都不少，千萬不要以為用了MAC，用了iPhone就可以高枕無憂，該升級(jí)的時(shí)候一定要升級(jí)。

補(bǔ)丁對(duì)于系統(tǒng)到底能帶來哪些改變呢：

1. 如上所述的安全漏洞。在這個(gè)IT安全越來越嚴(yán)峻的世界，這個(gè)可以說是最廉價(jià)而又十分有效的終端系統(tǒng)防護(hù)方案之一。

2. 功能增強(qiáng)，這里包含了很多我們普通用戶可能平時(shí)留意不到的內(nèi)容。比如：網(wǎng)絡(luò)性能、根證書鏈、特定傳輸協(xié)議優(yōu)化（比如SMB）等等，這些看著不明顯但卻對(duì)用戶最終使用會(huì)有明顯改觀的底層內(nèi)容。

3. 新功能、新版本，比如.net framework升級(jí)，以及現(xiàn)在MS還會(huì)推送硬件驅(qū)動(dòng)。

   備注：目前Windows Update可以推送XenServer 7.x的Guest tools驅(qū)動(dòng)

所以我們現(xiàn)在一臺(tái)Windows 7SP1安裝完成后如果使用Windows Update來更新補(bǔ)丁會(huì)發(fā)現(xiàn)得有差不多200個(gè)補(bǔ)丁需要去安裝。

這就是這么多年歷史積累下的各種組件的增強(qiáng)，可以說今天安裝完成所有補(bǔ)丁的Windows 7 SP1和當(dāng)年發(fā)布的Windows 7 SP1簡(jiǎn)直是天壤之別的兩個(gè)產(chǎn)品。

這個(gè)時(shí)候就有朋友會(huì)說了，我現(xiàn)在如果真的把一個(gè)干凈的Windows 7 SP1進(jìn)行補(bǔ)丁升級(jí)，可能幾天都不能完成，下載補(bǔ)丁過程很慢。其實(shí)這個(gè)原因很簡(jiǎn)單，因?yàn)槟愕南到y(tǒng)太舊了、底層部分組件太老了。Windows 7 SP1中，系統(tǒng)自帶的Windows Updage Agent已經(jīng)不匹配現(xiàn)在的Windows Update系統(tǒng)，導(dǎo)致其遍歷補(bǔ)丁速度非常慢（曾經(jīng)我等過2天，說多了都是淚）所以為了加速這個(gè)過程，我們需要先手動(dòng)在的系統(tǒng)上安裝如下兩個(gè)補(bǔ)丁：

3020369

3172605 

#請(qǐng)先安裝3020369，3020369是3172605的前序補(bǔ)丁。

這兩補(bǔ)丁安裝好了以后，通過Windows Update就會(huì)非常快的檢索、遍歷出需要安裝的補(bǔ)丁，后續(xù)的下載速度就完全看網(wǎng)速了。

當(dāng)然環(huán)境里面如果有WSUS/SCCM之類的管理軟件就更為簡(jiǎn)單了，直接用其推送。所以在企業(yè)級(jí)環(huán)境中，強(qiáng)烈推薦管理員部署這類平臺(tái)。其中WUSU是MS一個(gè)免費(fèi)組件，簡(jiǎn)單好用。

那么說完補(bǔ)丁，這個(gè)只是完成了一個(gè)基礎(chǔ)，那么接下來就需要對(duì)Windows系統(tǒng)進(jìn)行優(yōu)化。其實(shí)說是優(yōu)化（這里不存在什么加速這種事情），在我看來更準(zhǔn)確的描述其實(shí)是對(duì)于Windows系統(tǒng)的“裁剪”，意思就是說把Windows系統(tǒng)在虛擬桌面體系中不需要的組件、服務(wù)、策略給刪除、停用、調(diào)整。

#這個(gè)動(dòng)作其實(shí)沒有一個(gè)標(biāo)準(zhǔn)值，很多是基于不同用戶應(yīng)用再來不斷調(diào)整優(yōu)化。這里只是列出個(gè)人一些經(jīng)驗(yàn)。

從我個(gè)人來說，我的基礎(chǔ)鏡像會(huì)做如下幾個(gè)操作：

1. 添加刪除組件里面，刪除除了: .net framework 3.5,Windows Media Player, IE 之外的所有其他組件

2. 設(shè)定Pagefile大?。ㄌ貏e是在物理內(nèi)存大于4G以上的場(chǎng)景中）

3. 停用沒有必要使用的Service,

4. 停用沒有必要使用的Schedule Task,

5. 停用包括Aero、鼠標(biāo)在內(nèi)的特效等，
   

停用的Service、Schedule Task這個(gè)確實(shí)是個(gè)技術(shù)活，過去這個(gè)操作都是需要靠經(jīng)驗(yàn)或者參考一些KB來設(shè)定。我曾經(jīng)也做個(gè)一個(gè)PSH腳本，來完成相應(yīng)工作。現(xiàn)在Citrix提供了一個(gè)叫Citrix Optimizer的VDA鏡像優(yōu)化工具，這樣可以極大的方便我們一線人員的使用。（期盼好久啊。。。）

https://support.citrix.com/article/CTX224676

目前此工具支持Windows7,10, Server 2012, 2016。默認(rèn)自帶了相關(guān)模板，后續(xù)相信會(huì)不斷完善給予更好的支持。

#Tools不是萬能的，請(qǐng)根據(jù)實(shí)際情況調(diào)整。

完成這個(gè)之后，對(duì)于常規(guī)使用來說，VDA的母鏡像就已經(jīng)可以交付使用了。但是我們都知道一般情況下我們會(huì)給用戶都是Administrator即管理員權(quán)限。其實(shí)在任何系統(tǒng)中，當(dāng)你擁有了系統(tǒng)管理員這個(gè)權(quán)限，控制就會(huì)變的很難做，為什么大家都說Linux系統(tǒng)穩(wěn)定，其實(shí)有一個(gè)很重要原因是在Linux設(shè)計(jì)中，其管理體系在默認(rèn)情況下，用戶是沒有Root即超管權(quán)限的，那么其核心的系統(tǒng)就不會(huì)受到用戶側(cè)的各種操作的影響，進(jìn)而減少系統(tǒng)的不穩(wěn)定性。

可是在Windows體系中，無論是從系統(tǒng)的設(shè)計(jì)邏輯、用戶使用習(xí)慣和應(yīng)用的特點(diǎn)，我們是很難不給予用戶Administrators的權(quán)限，那么就導(dǎo)致由于用戶的誤操作、應(yīng)用相互干擾導(dǎo)致虛擬桌面無法正常工作。比如說有用戶自己修改IP地址，自行刪除一些桌面Agent，胡亂修改系統(tǒng)變量等等不一而足。

而過去，為了限制用戶的操作，一般都需要借助GPO來完成這種操作，但是對(duì)于很多非MS背景的同學(xué)來說這個(gè)太復(fù)雜了。

所以Citrix通過一個(gè)叫WEM（Workspace Environment Management）來實(shí)現(xiàn)對(duì)于系統(tǒng)環(huán)境的設(shè)定。

比如，我通過設(shè)定限制用戶不能使用Windows Update，Help這些功能。

#補(bǔ)丁應(yīng)該在交付給用戶前就安裝好，而不是讓用戶去安裝各種補(bǔ)丁。

限制用戶不能使用控制面板或者面板中的一些特定組件。

這樣來說，在給予用戶超級(jí)管理員權(quán)限情況下，也能合理控制用戶，可以使用整個(gè)桌面，以及定制化后的系統(tǒng)，這樣才是最適合每個(gè)不同客戶的系統(tǒng)。

其實(shí)從我個(gè)人的角度來說，虛擬桌面這種產(chǎn)品他還是需要和用戶的管理體系對(duì)接，完全開放、完全不受控、不考慮標(biāo)準(zhǔn)化，也許初期使用沒問題，到了中后期，越多不受控的虛擬桌面，對(duì)于用戶方的運(yùn)維壓力將是史無前例。太多的用戶跟我們反饋過，如果初期不受控，后面的運(yùn)維工作真是一夜回到解放前。

#在這里其實(shí)要澄清一個(gè)觀點(diǎn)，很多人說做標(biāo)準(zhǔn)化桌面一定要用標(biāo)準(zhǔn)/池化/Non-persistent桌面，其實(shí)我個(gè)人觀點(diǎn)倒是不一定。你可以通過技術(shù)手段來做這種重啟即還原的桌面，也可以給用戶完全自控的專有/Persistent桌面，但是配套上企業(yè)的管理體系，比如：運(yùn)行安裝的軟件是公司統(tǒng)一規(guī)定好的，安裝非此清單中的軟件就是違規(guī)，通過管理體系來進(jìn)行控制與管理。

從我個(gè)人來說，我非常推崇虛擬桌面對(duì)于IT前端運(yùn)維的管理、控制特性。操作層面推崇的是一種技術(shù)+管理融通的方式，而不是死板的只使用技術(shù)來達(dá)到最終結(jié)果。

以上這些信息對(duì)于Windows 7 SP1， Windows Server 2012都是適用的，但是對(duì)于Windows 10卻不完全適用。這個(gè)主要的區(qū)別還是在Windows 10系統(tǒng)自身的版本更新的體系有關(guān)。

相信大家都知道，過去無論是Windows 客戶端系統(tǒng)，7,8/8.1還是服務(wù)器系統(tǒng)2008R2, 2012R2都是通過Service Pack+hotfix方式來更新系統(tǒng)。

但是到了Windows 10，基本上每半年到一年，都會(huì)有一個(gè)完整的版本分發(fā)出來。每次新的版本發(fā)布都會(huì)帶來大量的新功能、新組件、新服務(wù)。其實(shí)這也是MS為了規(guī)避過去那種Service Pack+hotfix的更新帶來對(duì)于新功能的不能快速迭代的一種新時(shí)代的新方法。畢竟當(dāng)前的IT發(fā)展，敏捷開發(fā)、快速迭代是一個(gè)大趨勢(shì)。

從這張圖我們可以看出目前發(fā)布的3個(gè)主要的Windows 10版本，其Schedule Task，Service，Default App的數(shù)量都是會(huì)有一些不同，那么進(jìn)而導(dǎo)致其對(duì)于CPU/RAM等系統(tǒng)資源消耗量的不同。

那么問題來了，如果我們要使用Windows 10作為VDA的時(shí)候，我們應(yīng)該選擇哪個(gè)版本，RTM，Anniversary 或者Creator版本。（具體版本號(hào)請(qǐng)大家自行檢索）

其實(shí)MS在設(shè)計(jì)Windows 10體系的時(shí)候就有考慮過這個(gè)問題，所以除了過去我們熟識(shí)的專業(yè)版、企業(yè)版之外，他還引入新的Service options,

https://blogs.technet.microsoft.com/enterprisemobility/2016/01/06/navigating-the-windows-10-servicing-options/

其中Inside Program類似于BETA版，CB就是最新版本，CBB是一個(gè)穩(wěn)定版本分支，LTSB則是以穩(wěn)定為主。

所以MS推薦在企業(yè)級(jí)場(chǎng)景中，是使用CBB和LTSB這兩種版本，個(gè)人用戶推薦Inside和CB版本。比如我個(gè)人電腦目前就是使用最新的CB版本1703。

那么在當(dāng)下，哪些版本是CBB和LTSB版本呢。在如下的MS網(wǎng)站，MS給出了每個(gè)版本的狀態(tài)，

https://technet.microsoft.com/en-us/windows/release-info.aspx

#請(qǐng)注意，這里Microsoft Recommend推薦的1703是其最新的版本，這個(gè)主要是對(duì)于個(gè)人用戶使用。但是在VDA/虛擬桌面場(chǎng)景中，我們需要參考MS推薦優(yōu)先選擇CBB/LTSB版本。

所以個(gè)人建議在虛擬桌面場(chǎng)景中，目前比較合適的選擇是：1607，1511，1507這三個(gè)版本。

以上信息，僅代表個(gè)人觀點(diǎn)，供參考。