Глава 1: Виртуальная среда

advertisement
Глава 1: Виртуальная среда
Введение
Бизнес тесно связан с виртуальной средой. Телекоммуникации увеличивают
число удаленных пользователей, которым требуется доступ к приложениям со
специфической конифгурацией. Интернет предоставляет почти универсальное
сресдство связи, хотя и относительно медленное. Для бизнеса возрастает роль
технологии "тонкого клиента". Лидером этой технологии является компания
Citrix и ее продукт MetaFrame. MetaFrame работает поверх Microsoft Windows
2000 Terminal Services и обеспечивает быстрый и надежный доступ к бизнесприложениям. С помощью Citrix MetaFrame вы можете распространить
приложениям во всей корпоративной сеть и даже через Интернет.
<>
Понятие мейнфрейма
Мейнфреймы часто представляют как компьютеры, находящиеся в нише между
суперкомпьютерами и миникомпьютерами. Во многих случаях мейнфремы более
мощные, чем суперкомпьютеры, поскольку могут поддерживать одновременную
работу нескольких программ.
Как правило, суперкомпьютеры быстрее мейнфреймов потому, что один процесс
на них выполняется быстрее, чем на типичном мейнфрейме. В зависимости от
положения на рынке, одна и та же машина в одной компании может
рассматриваться как мейнфрейм, а в другой компании - как миникомпьютер. На
сегодняшний день крпнейшими производителями мейнфреймов являются Unisys
и IBM.
Мейнфреймы работают по модели централизованных вычислений. Хотя
мейнфрейм может быть не быстрее настольного компьютера, для обработки
потоков ввода/вывода мейнфреймы используют внешние каналы
(индивидуальные ПК). Это существенно освобождает ресурсы процессора.
Мейнфреймы могут иметь много портов, высокоскоростной кеш памяти и
несколько машин для координации операций ввода/вывода между каналами.
Скорость шины на мейнфрейме, как правило, намного выше, чем на настольном
ПК. Кроме того, в них используется аппаратные компоненты с контролем и
исправлением ошибок. Средняя частота появления ошибок в мейнфреймах
составляет 20 лет, что во много раз больше, чем на персональных компьютерах.
Как можно видеть на картинке, модель мейнфрейма поддерживает не только
настольные ПК, но и удаленные терминалы. Терминалы, называемые "тупыми"
(dumb), не содержат внутренних независимых вычислительных возможностей.
Но сегодня терминалы мейнфреймов часто называют "умными" (smart),
поскольку в них есть встроенный набор команд вывода на дисплей. Все
вычисления производятся на мейнфрейме, а терминалы используются только для
ввода/вывода. Такое использование терминалов имеет ряд преимуществ. Вопервых, терминалы относительно дешевле персональных компьютеров. Ввторых, терминалы содержат минимум компонентов и ими легче управлять.
Кроме того, терминалы доставляют пользователю тот же самый экран
независимо от того, где или когда он вошел в систему.
Централизованная архитектура мейнфрейма дает еще одно преимущество.
Когда-то мейнфреймы считались громоздкими, сложными машинами,
требовавшими выделенных программистов. Сегодня вычисления в среде
"клиент-сервер" могут быть намного сложнее, чем модель мейнфрейма. Увязка
протоколов, сетевая топология могут стать головной болью для сетевого
менеджера. В этом смысле вычисления на мейнфреймах прямолинейно и
существенно легче в реализации. Еще пять лет назад мейнфреймам предрекали
участь динозавров. Сегодня, с двумя триллионами долларов стоимости
установленных приложений для мейнфреймов, это предсказание можно назвать
несколько преждевременным.
Централизованные вычисления не только не ушли в прошлое, но, возможно,
станут будущим сетевой архитектуры. Для компании, которая стремится к
централизованному, масштабируемому решению, мейнфреймы могут стать
весьма привлекательными.
Возможно, начальная цена отпугнет многие компании, но для тех, кто решится
на это, общая стоимость владения (TCO - total cost of ownership) будет
значительно меньше, чем при схеме распределенных вычислений.
Распределенные вычисления
Распределенные вычисления в настоящее время часто обсуждаются в аспекте
приложений "клиент-сервер". Сегодня это наиболее поппулярная среда,
расширяющееся с помощью Интернет.
Рабочая станция
Распределенные вычисления стали доступны тогда, когда DEC изобрел
миникомпьютер. Способные выполнять вычисления, распределенные по
времени, миникомпьютеры позволили пользователям использовать одну и ту же
машину через удаленные терминалы, но каждый из них имел при этом свою
собственнуюсреду. Миникомьютеры были популярны, но значительно медленне
мейнфреймов. В результате для масштабирования миникомпьютеров
администраторам приходилось покупать их все больше и больше. Это приводило
к все более дешевым компьютерам, пока не появились персональные
компьютеры. Так родились рабочие станции.
Хотя изначально они были придуманы в исследовательской лаборатирии Xerox в
Palo Alto (PARC) в 1970, потребовалось некоторое время, чтобы рабочие станции
стали недорогими и достаточно надежными. В PARC были изобретены такие
популярные ныне средства, как мышь, оконная система, Ethernet, первые
файловые серверы и серверы печати. Все эти изобретения сделали рабочие
станции разумной альтернативой миникомпьютерам. Поскольку основная цена
компьютера складывается из стоимости проектирования и производства, чем
больше вы покупаете их, тем дешевле они продаются.
Идея локальной вычислительной сети (Ethernet) совместно с Xerox Distributed
File server (XDFS) позволило распеределить вычисления по рабочим станциям, и
это оказалось дешевле многих систем на основе мейнфреймов. К сожалению,
компания Xerox игнорировала почти все свои изобретения и позволила
позаимствовать их Стивену Джобсу, одному из основателей компании Apple.
Однако, доминирующим игроком в сфере распределенных вычислений сегодня
является компания Microsoft. Используя технологию, позаимствованную (а
иногда просто украденную) у Apple, она выпустила серию операционных систем
с графическим интерфейсом Windows. Используя большинство идей PARC (мышь,
Ethernet, совместный доступ к файлам), Microsoft дала пользователю платформу,
которую он мог легко понять и эффективно использовать практически в любой
сфере.
Введение в распределенные вычисления
Распределенные вычисления появились с первыми локальными
вычислительными сетями (ЛВС). Сегодня практически любая компания
использует некоторый тип распределенных вычислений. Чаще всегь
используется архитектура "клиент-сервер", при которой клиент (рабочая
станция) запрашивает информацию и сервис у удаленного сервера. В качестве
сервера могут выступать мощные рабочие станции, микрокомпьютеры,
миникомпьютеры и мейнфреймы. Обычно они соединены в ЛВС. Сложность такой
схемы в последние годы увеличивается. Для поддержки модели "клиент-сервер"
разработано несколько операционных систем, которые иногда плохо
взаимодействуют друг с другом. UNIX, Windows, Novell и Banyan Vines среди тех,
которые могут взаимодействовать между собой, хотя не всегда эффективно.
Однако, преимущества модели "клиент-сервер" значительны. Поскольку каждая
машина может осуществлять собственные вычисления, приложения для модели
"клиент-сервер" могут сильно варьировать. Одним приложениям требуется нечто
больше, нежели доступ к общим файлам, другие могут выполнять задачи как на
уровне клиента, так и на уровне сервера. Настоящее приложение "клиентсервер" проектируется так, чтобы обеспечить такое же качество обслуживания,
которое может предложить мейнфрейм или миникомпьютер. Операции "клиентсервер" могут быть двух-, трехзвенными (это описано в следующих разделах).
Двухзвенная архитектура
В двухзвенной архитекруте сервер приложений (например, сервер базы
данных), осуществляет свою часть возложенных на него операций - например,
поиск в базе данных или генерация отчета. Программа клиента используется для
доступа, редактирования, манипуляции процессами. На рис. 1.2 показано
типичное двухзвенное решение "клиент-сервер". Это наиболее
распространенная на сегодняшний день модель.
Трехзвенная архитектура
Трехзвенная архитектура используется в случаях, когда на рабочих станциях
недостаточно вычислительной мощности, необходимой для выполнения
приложения. В трехзвенной архитектуре также присутствует сервер базы
данных. Большинство процессов, которые обычно выполняются на рабочей
станции, переносятся на сервер приложений, а клиент отвечает лишь за
обновления экрана, нажатия клавиш и прочие визуальные изменения. Это
значительно уменьшает нагрузку на клиентские машины и позволяет старым
машинам использовать новые приложения.
ЗАМЕЧАНИЕ
Windows 2000 с Terminal Services и Citrix MetaFrame могут рассматриваться в
контексте как двухзвенных, так и трехзвенных вычислений, в зависимости от
конфигурации сети. Хотя в используемых методах есть различия, как Terminal
Services, так и MetaFrame используют клиентский ПК и сервер приложений.
Распределенные вычисления и Интернет
В последнее время появилась новая среда для распределенных вычислений Интернет. Компьютер клиента подключается к серверу, который в свою очередь
передает запрос на удаленный сервер, а тот выполняет команду и возвращает
результат клиенту.
Интернет изначально был изобретен военными для связи своих
исследовательских центров по всей территории США. В 1990 MCI создала шлюз
между отдельными сетями, чтобы позволить отдельным пользователям
обмениваться почтовыми сообщениями. С появления MCIMail начался быстрый
рост служб Интрнет, которые быстро расширились за территорию США и
распространились по всему миру.
Еще одна потребность в Интернет заключается в необходимости распределенных
вычислений и удаленного запуска приложений. Программы тонких клиентов
могут подключаться через Интернет к удаленным приложениям и становятся все
более распространенными в компаниях, которые предоставляют ресурсы
пользователям, находящимся за пределами их локальных сетей.
Преимущества распределенных вычислений
Распределенные вычисления идеально подходят для многих компаний. В модели
"клиент-сервер" требования к аппаратному обеспечению для серверов намного
меньше, чем для мейнфрейма. Это приводит к снижению начальных издержек.
Поскольку каждая рабочая станция обладает своей собственной вычислительной
мощью, она может работать независимо от сервера. А посредством
использования множества серверов, локальных сетей, глобальных сетей,
Интернет, системы распределенных вычислений могут простираться на весь мир.
Сегодня пользователи могут работать с корпоративной системой со своих
переносных компьютеров откуда угодно, даже в самолетах.
Распределенные вычисления также обеспечивают и надежность. Если
информация может дублироваться на нескольких серверах, то отключение
одного сервера не предотвращает доступ к информации. Тщательное управление
репликацией данных может гарантировать, что только какая-нибудь глобальная
катастрофа может привести систему в нерабочее состояние. Резервные каналы
связи обеспечивают устойчивость к отказам для систем, содержащих
критическую информацию. Это было одной из причин, по которой военные
изобретали систему распределенных вычислений.
Наконец, распределенные вычисления позволяют испрользовать устаревшие
компьютеры для сложных расчетов, которые они не могли бы делать. Например,
старые машины на процессорах 386 могут получать доступ к ресурсам ваших
серверов Windows 2000. Причем этот тип доступа прозрачен для пользователя.
Разработчик может писать приложение только для одной операционной системы
и не проверять, как оно работает на других системах. Это снижает стоимость
разработки и программа становится дешевле для пользователя.
Windows 2000 с Terminal Services и Citrix MetaFrame объединяют качество
распределенных вычислений и модель мейнфрейма.
Обе модели в бизнесе
Компании следует тщательно проанализировать требования к аппаратному
обеспечению перед тем, как реализовать одну из моделей. Неверное решение
может привести к кошмарам в управлении системой. Вычисления на основе
мейнфреймов изначально более дорогие. Распределенные вычисления требуют
большего сопоровождения. Мейнфреймы централизуют все приложение. Термин
"Распределенные системы" говорит сам за себя.
Следующая таблица поможет вам принять правильное решение.
Если вам
необходимо...
Многоплатформенная
среда для конечных
пользователей
То следует использовать...
Распределенные вычисления. У
каждого конечного
пользователя есть рабочая
станция со своей собственной
вычислительной мощностью и
операционной системой. Это
дает пользователю больше
свободы в управлении своей
средой.
Однородная среда, в
которой пользователям
дается стандартный
интерфейс.
Система с мейнфреймом.
Использование терминалов
позволяет администраторам
предоставлять управляемую,
стандартную среду каждому
пользователю независимо от
местоположения машины.
Низкая стоимость на
начальной стадии
Распределенные вычисления.
Персональные компьютеры
стоят гораздо дешевле, чем
мейнфрейм. Но учтите, что
стоимость последующего
сопровождения может
превысить полученную
экономию.
Простое и недорогое
расширение
Мейнфрейм. Добавление нового
терминала - очень простой
процесс по сравнению с
установкой и настройкой
персонального компьютера.
Доступность
программного
обеспечения для
различных бизнесприложений
Распределенные вычисления.
Существует большое
разнообразие программ,
выпущенных для настольных
ПК, и их стоимость часто
дешевле аналогичных пакетов
для мейнфреймов даже на
уровне предприятия.
Отказоустойчивость
Мейнфреймы. Типичный
мейнфрейм имеет аппаратные
средства контроля и устранения
ошибок, отстутствующие в
большинстве ПК.
Отличия между удаленным доступом и удаленным
управлением
Существует два типа удаленных вычислений; вы должны выбрать то, что более
подходит к вашим требованиям.
Удаленное управление
ПО удаленного управления используется уже несколько лет. Начиная с
небольших пакетов, типа PCAnywhere, и заканчивая большими приложениями
масштаба предприятия, как SMS. Оно дает пользователям или администратору
возможность управлять удаленной машиной и выполнять разнообразные
функции. При использовании удаленного управления, от удаленной машины на
локальную машину посылаются коды нажатых клавиш. Локальная машина
посылает на удаленную изменения экрана. Обработка и передача файлов, как
правило, делаются на локальной машине. На рисунке 1.4 показана схема сеанса
удаленного управления:
Преимущества удаленного управления
ПО удаленного управления стало очень популярным. Используя
централизованные инструменты, персонал службы поддержки может решать
проблемы, возникающие на удаленном компьютере. Это улучшает поддержку
пользователей. Кроме того, администратор может собирать информацию с
большого числа машин и вести записи о их конфигурации и установленном
пограммном обеспечении. Это помогает следить за использованием лицензий.
Удаленное управление может использоваться и как средство дистанционного
обучения. Администратор может работать за другим ПК, подключенным к ПК
пользователя, видеть экран пользователя, и помогать пользователю освоить
программу в режиме демонстрации.
Программы удаленного управления, как правило, преусматривают защиту. В
компаниях, хранящих важную информацию, часто запрещается хранить на своих
ПК секретную информацию, чтобы удаленные пользователи не могли получить к
ней доступ. При удаленном доступе администратор может ограничить
пользователя в загрузке информации на свой домашний ПК.
Недостатки удаленного управления
Программы удаленного управления имеют ряд ограничений. Большинство
пакетов ограничены разрешением экрана, которое они могут воспроизвести.
Клиенты Terminal Services поддерживают максимум 256 цветов. Кроме того,
программы, использующие графику, сильно загружают каналы связи и могут
свести на нет все преимущества удаленного управления. Citrix MetaFrame
недавно выпустила Feature Release 1, дополнительный пакет для MetaFrame 1.8,
который позволяет пользователям использовать 24-битный цвет.
Клиент Citrix может масштабировать графику сессии в зависимости от
пропускной способности канала связи. Чем больше разрешение, тем больше
загружается канал. Из-за этого некоторые программы, например, системы
автоматизированного проектирования, не подходят для использования с Terminal
Services или MetaFrame. Однако, приложения Windows Office - такие как Word и
Excel, - идеально подходят для сеансов удаленного доступа.
Feature Release 1 доступен для обладателей Subscription Advantage. Он включает Service
Pack 2 for MetaFrame 1.8, а также набор новых возможностей, таких как поддержка
нескольких мониторов, большая глубина цвета, SecureICA.
Еще одна потенциальная опасность удаленного управления состоит в том, что
возникает опасность несанкционированного дступа в сеть. Если некто за
пределеами сети получает доступ к локальному ПК, он может выполнять на нем
любые команды, как если бы он находился в локальной сети. Поэтому многие
администраторы предпочитают не оставлять постоянно включенными
компьютеры с установленными на них программами удаленного доступа, и
тщательно настраивают механизмы аутентификации и ограничения прав
пользователей.
Последний недостаток удаленного управления состоит в том, что скорость
передачи файлов между локальным и удаленным ПК ограничена скоростью
соединения. Большинство пользователей используют обычную телефонную сеть,
позволяющую скорость максимум 56Кbps. Хотя MetaFrame неплохо работает и на
модемном соединении 28.8 Kbps, рекомендуются высокоскоростные соединения
типа ADSL или кабельные модемы.
Удаленный узел
Удаленный ПК, оборудованный модемом или сетевой платой, выполняет
соединение через глобальную сеть к локальному серверу. Этот удаленный ПК
теперь рассматривается как локальный узел сети, способный получать доступ к
сетевым ресурсам, например, к другим ПК. Сервер отвечает за предоставление
всей сетевой информации, за передачу файлов, и даже за некоторые
приложения на удаленном узле.
Удаленный узел отвечает за обработку, выполнение, изменение информации, с
которой он работает. Все это выполняется с той скоростью, с которой может
работать клиент.
Из-за этих ограничений вычисления на удаленном узле предъявляют высокие
требования к пропускной способности канала связи. Это следует учитывать при
проектировании. Как видно на рисунке, между клиентом на локальном ПК и
клиентом удаленного узла есть небольшое различие. Сервер будет одинаково
обрабатывать запросы от любой машины. Но если локальный клиент
запрашивает 2Мб данных, сервер передаст их по локальной сети. Для
удаленного клиента, по каналу 56К эта передача займет около 6 минут. Кроме
того, после внесения изменений клиент должен отправить эти 2Мб обратно.
Зачем использовать удаленный доступ?
Почему же компании предпочитают использовать удаленный доступ, а не
удаленное управление, несмотря на все эти проблемы, вытекающие из скорости
соединения? Для начинающих удаленный доступ проще настроить. Все, что
требуется - это способ подключиться к серверу. Для этого обычно используется
RAS или соединение через Интернет.
Другая важная особенность состоит в том, что для соединения с центральным
сервером можно использовать разные операционные системы. Это может быть
важно для компаний, использующих различные платформы. Сервисы могут
отличаться в разных ОС, но пользователи могут получать доступ к сетевым
ресурсам по крайней мере на базовом уровне.
Удаленный доступ более безопасен, чем удаленное управление. Для клиентов,
использующих Интернет, существуют много программ, реализующих
защищенное соединение между клиентом и сервером. В последнее время стали
очень популярны виртуальные частные сети (VPN).
Сеансы удаленного доступа не ограничены в графике. Если клиентский ПК
настроен на 24-битный цвет, то именно такое качество он и попытается
показать. Однако, в случае больших изображений может потребоваться
значительное время для их отображения. Если ваше приложение выводит много
графики, это сильно снизит производительсность.
Однако, самым большим преимуществом удаленного доступа над удаленным
управлением является требование к аппаратному обеспечению. При удаленном
доступе, небольшое число локальных машин могут обрабатывать большое число
пользовательских сеансов. Следовательно, нет необходимости деражать для
каждого пользователя отдельный ПК. Пользователи могут работать на
удаленных компьютерах, а потом подключаться к локальной сети и выгружать
свои изменения. Это также локализует источники ошибок и облегчает их поиск и
устранение.
Недостатки вычисления на удаленном узле
Как было сказано выше, скорость является ключевым аспектом, поскольку
передается намного больше данных, чем при удаленном управлении. Частично
проблему можно решить использованием кабельных модемов и ADSL, но даже в
этом случае скорость будет составлять лишь 1/5 от скорости в ЛВС, если только
пользователь не платит ежемесячно $1,000 за персональный канал T1 );
Поскольку удаленный доступ требует, чтобы удаленный ПК мог осуществлять
обработку информации, требования к его аппаратному обеспечению также могут
стать важным фактором. Это может означать частую замену ПК, модернизацию
программного обеспечения. Удаленный ПК также более уязвим для вирусных
атак, чем при удаленном управлении. Еще один недостаток удаленного доступа это выдача клиенту лицензии. Если клиенту запрещено индивидуально
устанавливать на своем ПК копию программы, слежение за лицензиями
становится еще одной головной болью системных администраторов.
И последнее замечание по попводу удаленного доступа касается совместимости
аппаратных платформ. Заранее не зная конфигурации ПК клиента, часто
приходится строго ограничивать список поддерживаемых конфигураций. Это
часто ограничивает пользователя.
Так что вы выбираете?
Есть "за" и "против" в обеих моделях. Обе имеют ключевые особенности,
которые делают их привлекательными. К счастью, Microsoft и Citrix реализовали
преимущества обеих моделей и разработали соответственно Terminal Services и
MetaFrame. Являясь комбинацией удаленного доступа и удаленного управления,
эти два пакета могут удовлетворить требования удаленных вычислений.
Революционная технология тонкого клиента
Microsoft и Citrix быстро увидели ограничения, накладываемые использованием
мейнфреймов, распределенных вычислений, удаленного доступа и удаленного
управления, но взяли от них самое лучшее. Мейнфремы имеют центральный
сервер и выполняют у себя приложения; распределенные вычисления дают
пользователям настраиваемые рабочие столы и наборы приложений; удаленное
управление позволяет использовать устаревшие компьютеры; удаленный доступ
позволяет нескольким пользователям подключаться к одной центральной точке.
Оба пакета, используя эти преимущества, позволяют пользователям
подключаться к центральному серверу, открывать виртуальный рабочий стол,
выполнять удаленные вычисления без необходимости в локальном ПК. Сервер
берет на себя всю обработку, а посылает на ПК только изменения экрана.
Основные концепции
В этом разделе будут использоваться два важных термина - "толстый" клиент и
"тонкий" клиент. Термины "толстый" и "тонкий" относятся к пропускной
способности канала до клиента. "Толстый" клиент - это машина или приложение,
требующая большой пропускной способности. Обычно эти машины локально
выполняют свои приложения или получают их от сервера в модели "клиентсервер". "Толстых" клиентов легко настраивать, их можно использовать
независимо от сети.
Термин "тонкий" клиент относится к специфичному программному продукту,
который обеспечивает удаленный ПК программами и информацией на
низкоскоростном канале. При использовании ПО удаленного управления между
сервером и клиентом передаются только коды нажатых клавиш и изменения
экрана.
"Тонкие" машины обладают только частью функциональных возможностей
"толстых" машин. Они аналогичны интеллектуальным терминалам мейнфрейма.
Они имеют собственную память, дисплей, но получают всю информацию от
сервера. У них нет локальной операционной системы, нет жесткого диска и
совсем немного вычислительных возможностей. Настоящее отличие "тонкой"
машины от "толстой" состоит в отсутствии у первой жесткого диска.
Windows 2000 Terminal Services и Citrix MetaFrame оба являются программным
обеспечением тонкого клиента. Оба предоставляют пользователю виртуальный
рабочий стол. Приложения выполняются на стороне сервера, позволяя
остальным старым ПК с такими операционными системами, как DOS и UNIX,
выполнять приложения словно на рабочем столе Windows 2000.
Рождение Terminal Services и MetaFrame
Невозможно рассказать историю Windows NT Terminal Services без обсуждения
истории Citrix. Эд Якобуччи был руководителем совместного проекта
IBM/Microsoft по разработке OS/2. Якобуччи предложил идею, чтобы разные
компьютеры в сети могли запускать приложения OS/2, даже если они не были
для этого предназначены.
Эта идея положила начало рождению технологии MultiWin, которая позволяла
нескольким пользователям совместно использовать один CPU, сетевые карты,
порты ввода/вывода и прочие ресурсы сервера. Эта технология стала основой
многопользовательской системы.
Якобуччи оставил IBM в 1989 и основал Citrix Systems, когда ни Microsoft, ни IBM
не заинтересовались новой технологией. Citrix разработала новую технологию на
платформе OS/2, названную MultiView. К сожалению, дни OS/2 были сочтены. В
1991, когда у компании появились проблемы, Якобуччи вернулся к Microsoft в
попытке разработать такую же технологию для платформы Windows NT. Microsoft
предоставила компании Citrix лицензию на исходные тексты NT и купила долю в
компании. В 1995 Citrix выпустила WinFrame и впервые внесла
многопользовательские вычисления в NT. Однако, успех был связан не только с
WinFrame, но и с платформой NT. Это стало проблемой для Citrix. Когда продажи
Windows NT достигли высокого уровня, Microsoft решила, что для тонкого
клиента помощь Citrix больше не нужна. В результате они известили Citrix о
своих планах разработки собственной многопользовательской технологии. Акции
Citrix немедленно упали в цене на 60% только за один день и будущее компании
стало туманным. Спустя несколько месяцев интенсивных переговоров между
компаниями, была заключена сделка. Microsoft захотела стать ведущим игроком
на рынке тонких клиентов, но разработка собственной технологии заняла бы
много времени. Поэтому Citrix согласилась лицензировать свою технологию
MultiWin для включения в будущие версии Windows. В обмен Citrix получила
права на продолжение разработки WinFrame 1.x независимо от Microsoft, а также
разработать расширение MetaFrame для новой платформы Terminal Services. Оба
этих продукта основаны на протоколе Independent Computing Architecture (ICA).
Введение в Terminal Services
В середине 1998 года Microsoft выпустила Windows NT Server 4.0, Terminal
Services Edition. Это была первая попытка операционной системы для тонкого
клиента, и она многое позаимствовала у Citrix. Хотя NT 4.0 Terminal Services
выглядел так же, как обычный сервер NT 4.0, они существенно различались.
Пакеты обновлений были несовместимы друг с другом. Заплаты выпускались
отдельно. Даже драйверы принтеров должны были быть "совместмыми с Terminal
Services" или сертифицированными для испольования с Terminal Services.
Windows NT 4.0 Terminal Services Edition продавалась как совершенно
независимая платформа.
Citrix вскоре выпустила MetaFrame 1.0 для Windows NT 4.0 TSE, а затем
MetaFrame 1.8. Обе версии имели ряд преимуществ над Terminal Services.
Microsoft позаимствовала некоторые из них и включила в Windows 2000 Terminal
Services. Начиная с этого выпуска, Terminal Services встроены в Windows 2000
как служба, а не как отдельная архитектура. Это облегчило сопровождение, так
как позволило выпускать одни пакеты обновлений и заплаты. Terminal Services
можно устанавливать на любом сервере Windows 2000, хотя для этого требуется
отдельная лицензия.
Следуя соглашениям, Citrix выпустила MetaFrame 1.8 для сервера Windows 2000.
Хотя перехода с MetaFrame for NT 4.0 Terminal Services не было, новый продукт
превосходил по функциональности Terminal Services. Протокол ICA от Citrix
оказался быстрее, чем протокол RDP от Microsoft. Citrix предусморела также ряд
полезных инструментов администрирования.
Windows 2000 Terminal Services
Terminal Services дают администраторам Windows 2000 возможность
распространять многопользовательскую среду на "толстые" и "тонкие" машины.
Microsoft сделала свои терминальные службы на базе протокола RDP. RDP 5.0
поставляется в Windows 2000 и значительно улучшен по сравнению с RDP 4.0 из
комплекта Windows NT 4.0 TSE.
Что такое Terminal Services?
Terminal Services - это закоченная многопользовательская технология,
используемая с Windows 2000 Server или Advanced Server с целью предоставить
пользователю традиционный вид рабочего стола Windows 2000.
В новой фразеологии Windows 2000 теперь есть серверы приложений и
стандартные серверы из пакета BackOffice. В BackOffice включены общие
серверы, такие, как WWW-сервер, службы печати, база данных. Эти пакеты
требуют, чтобы клиент загружал информацию и локально ее обрабатывал.
Серверы приложений обеспечивают поддержку удаленных приложений
пользователям таких пакетов, как Office, Exchange или даже Netscape
Communicator. Сервер Windows 2000 с Terminal Services рассматривается как
сервер приложений. Ключевое отличие сервера приложений от стандартных
серверов состоит в том, что программы BackOffice не позволяют разным
пользователям быть одновременно зарегистрированными в системе. Это значит,
что хотя несколько пользователей могут получать доступ к одному и тому же
ресурсу, но только один из них может быть представлен зарегистрированным с
консоли. Со службами терминалов несколько клиентов могут быть
зарегистрированы в приложении. Каждый из клиентов выполняет отдельный
экземпляр приложения, а обработка приложения целиком выполняется на
сервере.
Для включения многопользовательской поддержки, Microsoft внесла изменения в
стандартные вызовы Win32 API. В традиционных приложениях пользователь мог
запускать одновременно только одно приложение; многие программы
использовали файлы конфигурации и реестр так, что было невозможно
использовать мнопользовательскую поддержку. Terminal Services следят за
измененями в реестре и изменением файлов .INI, реплицируя их для каждого
пользователя, имеющего доступ к приложению. Когда приложение
устанавливается на сервере терминалов, машина должна быть переведена в так
называемый режим инсталляции. Мы обсудим это позже.
Кроме того, Microsoft внесла изменения в Process Manager. Новые процессы
теперь получают такой же приоритет, как процессы переднего плана (foreground
tasks).
Режим инсталляции
Есть два метода перевода терминального сервера в режим инсталляции. При
использовании Add/Remove programs на сервере при работающей терминальной
службе инсталлятор имеет опцию установки программы для всех пользователей.
Если выбрана опция "all users", то машина переводится в режим инсталляции.
Второй метод состоит в запуске в командной строке команды change user
/install. Эта команда делает то же, что опция в Add/Remove programs. Этот
особый режим аккуратно записывает все необходимые изменения для каждого
пользователя.
В отличие от Windows NT 4.0 TSE, вы должны использовать Add/Remove
programs для процедуры установки в Windows 2000 Terminal Services. Не
забывайте использовать команду change user/execute после окончания
установки. Если вы оставите систему в режиме инсталляции, это может вызвать
серьезные проблемы.
Внимание
Режим инсталлции следует использовать крайне осторожно. Когда машина переводится в
этот режим, отдельные части реестра становятся недоступными для пользователя.
Настоятельно рекомендуется делать установку программ, когда других пользователей нет
в системе.
Системные требования для Terminal Services
Windows 2000 Server требует значительно больше ресурсов, чем сервер NT 4.0.
В таблице показаны рекомендуемые аппаратные требования для Windows 2000
Terminal Services для 100 пользователей.
Минимальные требования
Рекомендуемая
конфигурация
Процессор Pentium 133
Четырехпроцессорная система
PIII-450 или мощнее
128 Mb RAM
2 Gb RAM
Минимум 1Гб свободного места
на жестком диске (может быть
значительно больше, в
зависимости от выбранных
вами компонентов).
Достаточно места для
поддержки дополнительной
виртуальной памяти и
растущего SAM для каждого
пользователя.
Монитор VGA или лучше,
стандартная клавиатура,
стандартная мышь
Те же требования, что и к
серверу Windows 2000
Типы установки Terminal Services
Есть два типа установки Terminal Services в 2000. Мы уже коснулись первого сервера приложений. Этот тип сервера обеспечивает многопользовательскую
среду и разрешает одновременный доступ к стандартными приложениям
Windows. Если на сервере Windows 2000 установлена терминальная служба, она
требует для каждого пользователя наличия клиентской лицензии (Client Access
License -CAL). Эти лицензии (CAL) являются дполнениями к стандартному
лицензированию. Для каждого пользователя, подключающегося к терминальной
службе, требуется отдельная лицензия.
Второй тип установки терминальных служб - это режим удаленного
администрирования. В этом режиме удаленные пользователи также получают
доступ к консоли, но лицензирования доступа не производится. Этот режим
позволяет удаленно администриаровать сервер Windows 2000 из одной точки.
Любой пользователь посредством клиента RDP может получить доступ к серверу,
поэтому необходимо предпринять определенные меры безопасности. В этом
режиме допускается максимум два одновременных пользователя.
Лицензирование Службы Терминалов
Помимо стандартных CAL существуют еще четыре типа CAL:




Terminal Services CAL (TS CAL). Стандартные лицензии для каждого
пользователя, кроме описанных ниже. Каждый пользователь для
регистрации на сервере должен иметь CAL.
Built-in CAL Пользователь, имеющий лицензию на NT Workstation или
2000 Professional, не нуждается в новой TS CAL для доступа к серверу.
Work-at-Home CAL Эта лицензия может быть куплена только в
комплекте с TS CAL. Это неграниченная количеством лицензия,
позволяющая пользователю регистрироваться на терминальном сервере
на работе и дома. Она комбинирует стандартную серверную лицензию и
TS CAL в одну лицензию.
Internet Connection License Многие компании делают терминальньые
службы доступными из Интернет. Эта специальная лицензия разрешает
максимум 300 анонимным пльзователям одновременно подключаться к
терминальному серверу. Эти лицензии предназначены не для сотрудников
компании.
После установки Terminal Services вам дается 90 дней для активации сервера
лицензий. Сервер лицензий может работать на контроллере домена или любом
сервере Windows 2000 или NT 4.0. Сервер лицензий следит за доступными
клиентскими лицензиями и выдает их устройствам пользователя во время их
подключения. Не имея правильной лицензии, клиент не может подключиться.
Получив цифровой сертификат от Microsoft Clearinghouse и предоставив его
серверу лицензий, вы активируете управление лицензиями.
На таблице показано, как сервер лицензий обрабатывает запросы клиента.
Клиент
Сервер
Устанавливает соединение с
Windows 2000 Terminal
Services
Отправляет запрос лицензии клиента
Возвращает лицензию из кеша Проверяет лицензию. Если она
- или Запрашивает новую лицензию
у сервера
действительна, процесс установления
соединения заканчивается
- или Если нет лицензии, или она
недействительная, терминальная
служба пытается обратиться к серверу
лицензий и получить от него новую
лицензию.
Завершает содинение
Сервер функционирует как обычно
- или -
- или -
Ожидает новой или
правильной лицении от
сервера. Если ни одной не
доступно, в соединении
отказывается.
Если лицензии недоступны, или сервер
лицензий недоступен, в доступе
отказывается. Если получена новая
лицензия, содинение устанавливается.
Переход на Windows 2000 Terminal Services
В зависимости от вашей текущей операционной системы, у вас есть
несколько способов перехода на Windows 2000 Terminal Services. На
стандартном сервере NT 4.0 после перехода на TSE необходимо
переустановить все программы, чтобы они были доступны терминальным
службам. Поэтому Microsoft рекомендует устанавливать Terminal Services в
режиме удаленного администрирования. Если необходим переход на
сервер приложений, рекомендуется устанавливать его на чистую машину,
а потом заново установить все программы.
Инструменты Terminal Service
Windows 2000 Terminal Services содержит большое количество инструментов для
удаленного администрирования и поддержания соединени.
Terminal Services Connection Configuration (TSCC) С этой утилитой
администраторы должны ознакомиться в первую очередь. С помощью TSCC
администратор создает типы соединений, меняет поддерживаемые протоколы,
устанавливает уровень шифрования, устанавливает уровень защиты серверов на
уровне соединения. TSCC также отвечает за то, где установлены свойства
удаленного управления. В настоящий момент Terminal Services поддерживают
протоколы RDP и ICA.
Terminal Services Manager (TSM). Используется для управления
пользователями, сеансами и процессами. С помощью TSM администратор может
инициировать "теневую сессию", проверить количество текущих лицензий,
проверить процессы отдельных пользователей.
Terminal Services Licensing . Мы уже обсуждали этот инструмент. В основном,
он используется для управления серверами лицензий.
Application Security Registration (ASR) Утилита AppSec для Windows 2000
доступна в Windows 2000 Server Resource Kit. С ее помощью администратор
может ограничивать выполнение приложений на основе списка ASR. Любая
попытка запуска приложения в ASR не-администратором, вызовет ошибку.
Приложения должны находиться на локальном диске. Приложения, находящиеся
на сетевых дисках, недоступны при использовании AppSec.
Кроме этих, существуют еще два инструмента, имеющиеся в составе Windows
2000, но которые получают некоторые дополнительные опции после установки
Terminal Services.
Windows 2000 Terminal Services User Manager for Domains Это специальная
версия менеджера пользователей позволяет администратору расширить
возможности настройки пользователей в Terminal Services, например, установить
тайм-ауты сеансов, карту локальных драйвов и принтеров и пр. Большинство
этих опций находятся на закладке Windows 2000 Active Directory Users and
Computers. После установки Terminal Services в утилите Active Directory tools
появляются четыре новых закладки, относящиеся к Terminal Services:
Environment (позволяет определить обработку клиентских устройств), Sessions
(устанавливает тайм-ауты), Remote Control и Terminal Services Profile
Виртуальная память
Процессы Windows требуют для своей работы наличия виртуального адресного
пространства. Это просранство делится между ядром и пользовательскими
адресными пространствами. Потоки ядра могут получать доступ к процессам
пользователя. Адресное пространство ядра разделяется между процессами, и
каждый процесс получает свое адресное пространство. Когда несколько
пользовательских сеансов пытаются одновременно получить доступ к одной и
той же области ядра, возникает проблема совместного доступа к ядру. Для
решения этой проблемы Microsoft разработала третий тип адресного
протстранства - адресное пространство сеанса. Каждый сеанс помещает копию
ядра в свое собственное адресное пространство. Каждый сеанс имеет доступ
только к собственному Windows Manager, GDI, дисплею, принтерам. В
совокупности с изменениями в вызовах Win32 API, это адресное пространство
сеанса позволяет Windows 2000 работать в многопользовательской среде.
Remote Desktop Protocol (RDP)
Рассмотрим протокол RDP немного подробнее. Remote Desktop Protocol (RDP)
является ядром технологии тонкого клиента Microsoft. RDP отвечает за передачу
информации между клиентом и терминальными службами. RDP основан на
стандартах T.120 и изначально был реализован как RDP 4.0 в Windows NT 4.0
TSE. Windows 2000 включает модернизированный RDP 5.0.
RDP обрабатывает вывод графической информации через специальный драйвер
дисплея отдельно от сеанса пользователя. Поскольку каждый сеанс имеет
собственное ядро Win32 и драйверы дисплея, драйвер дисплея RDP способен
получать команды от GDI и передавать их драйверу терминальных служб. Этот
драйвер кодирует данные в формат RDP и передает их транспортной оболочке,
которая отправляет их клиенту. На стороне клиента данные декодируются и
экран обновляется новой информацией.
RDP также отвечает за передачу событий мыши и клавиатуры от клиента к
серверу. Каждое входящее сообщение (нажатие клавиши или перемещение
мыши), генерируемое клиентом, перехватывается и кодируется в формат RDP, а
затем посылается на сервер. Там пакет RDP декодируется и обрабатывается в
адресном пространстве сеанса пользователя, после чего клиенту посылается
изменения экрана для отражения изменений. Входящие сообщения могут
кешироваться для повышения общей производительности.
Шифрование RDP
Для обеспечения защиты соединения клиента с сервером, RDP поддерживает три
уровня шифрования. Вы сами можете выбирать, какой уровень больше подходит
для вашей организации. UDP использует алгоритм шифрования RC4. </P
Доступные уровни шифрования следующие:



Low. Данные шифруются только в одном направлении, от клиента
к серверу. Сервер отсылает незашифрованные данные. Клиент
Windows 2000 RDP использует 56-битный ключ шифрования, а
более старые клиенты - 40-битный.
Medium. Данные шифруются в обоих направлениях. Типы ключей
остаются те же.
High. Для шифрования используется 128-битный ключ. Эта опция
доступна только для США и Канады.
Функциональность RDP
RDP 5.0 значительно расширил свою функциональность по сравнению с RDP 4.0
из комплекса NT 4.0 TSE. С клиентом Windows 2000 Terminal Services,
пользователи и администратор могут переназначать (map) локальные принтеры,
буфер обмена. Вот список нововведений в RDP 5.0:


Переназначение буфера обмена (Clipboard mapping). До
появления клиента Windows 2000 было невозможно копировать
информацию между локальным и удаленным буферами обмена. Это
означало, что текст, скопированный из Notepad в удаленном
сеансе, нельзя было перенести на локальную машину. Теперь в
настройке Terminal Services можно настроить переназначение
буфера обмена.
Переназначение принтеров (Client Printer Mapping). С RDP 5.0
локальные принтеры могут отображаться как серевые принтеры.
Это позволяет клиентам поддерживать свои принтеры,
настроенные по умолчанию, а администраторам больше не надо
опрделять в сети каждый принтер. Однако, для правильного
переназначения необходимо наличие в терминальных службах
драйверов принтеров. Эта опция доступна только в 32-битных
клиентах. Переназначение принтеров действительно только во


время сеанса пользователя. Двунаправленная печать в
автоматически создаваемых принтерах не поддерживается.
Удаленное управление. Администраторы могут
взаимодействовать с сеансами удаленных пользователей. Это
существенно облегчает решение многих проблем. Вместе с тем,
существуют определенные ограничения. Разрешение экрана
должно быть таким же или выше, чем на машине пользователя.
Лицо, пытающееся получить удаленное управление, должно иметь
соответствующие привилегии. Для удаленного управления вы
должны зарегистрироваться на том же терминальном сервере, что
и пользователь. Кроме того, вы можете контролировать
одновременно только одного пользователя.
Кеширование изображений. RDP 5.0 использует постоянное
кеширование на локальном диске наиболее часто используемых
пиктограмм для ускорения сеанса. При установлении соединения с
сервером, клиент посылает список ключей, соответствующих
картинкам, хранящимся в кеше. Тогда сервер вместо картинки
посылает соответствующий ключ. Кеш имеет фиксированный
размер 10 Мб и это значение нельзя изменить.
Клиент Terminal Services.
Существует два типа клиентов: 32-битный для Windows 95/98/2000 и NT
содержит полный функционал RDP 5.0. 16-битный клиент для Windows for
Workgroups 3.11 не содержит такие ключевые функции, как поддержка
клиентских принтеров и автосоздание принтеров. Дополнительные клиенты
доступны у сторонних производителей. Существуют клиенты для UNIX, Macintosh
и DOS. Есть отдельный клиент для платформы Windows NT Alpha, но он не
включен в комплект Windows 2000. Клиенты должны быть установлены на
каждой машине, которая осуществляет подключение к Terminal Services.
Установка клиента Terminal Services
Существуют несколько способов установки клиента службы терминалов на
рабочей станции.



Установка с дискетт. Вы можете использовать программу Terminal
Services Client Creator, содержащуюся в меню Administrator tools
для создания установочных дискетт как 32-битного, так и 16битного клиента.
Установка через сеть. Сделав папку общедоступной (shared)
Winnt\systemroot\system32\clients\tsclient\net, вы можете
разрешить установку клиента через сеть. Локальные машины
должны подключиться к общему ресурсу и выбрать один из
каталогов win32 или win16 для запуска оттуда SETUP.EXE.
Установка на Windows CE. Клиент доступен на CD в папке
valueadd\msft\mgmt\mtsc_hpc.
Использование Terminal Services Client
Обучение новых пользователей работе с Terminal Services может стать непростой
задачей. Большинcтво из них привыкли к своему рабочему столу Windows и
должны освоиться с новым способом запуска приложений. В Terminal Services
многие задачи выполняются немного по-другому. Напрмер, комбинация клавиш
CTRL-ALT-DELETE открывает локальное окно безопасности Windows, а не окно на
терминальном сервере. Наиболее часто всречающиеся комбинации клавиш:
Комбинация на
рабочем столе
Комбинация на
терминальном
сервере
Alt-Tab
Alt-PgUp
Переключение между
программами вперед
Alt-Shift-Tab
Alt-PgDn
Переключение между
программами назад
Alt-Space
Alt-Del
Вывести контекстное
меню текщего окна
Alt-Esc
Alt-Ins
Цикл по открытым
окнам
Ctrl-Alt-Del
Ctrl-Alt-End
Вывод окна
безпасности Windows
Функция
К сожалению, эти клавиши нельзя переназначить. Надо помнить, что при входе
через консоль используются стандартные комбинации.
Помимо изменений комбинаций клавиш, меню "Пуск" в терминальном режиме
несколько другое. Вместо опции Shutdown пользователю предлагается опции
Disconnect или Logoff. Если пользователь выбирает Disconnect, все его процессы
остаются работать на сервере, пока не наступит тайм-аут, установленный во
время настройки соединения. При последующем подключении пользователь
получит тот же экран, который оставил при отключении. Если пользователь
выбирает Logoff, его сеанс завершается как обычно.
Отключенные сеансы могут стать головной болью для администратора. Часто
пользователи не понимают разницы между Disconnect и Logoff, и часто выбирают
Disconnect. Закрытие окна сеанса (иконка X в правом верхнем углу) является
эквивалентом Disconnect. Компания Softblox разработала программу App Scape,
предотвращающую закрытие окна нажатием на иконку X. Подробнее смотрите на
www.netblox.com
Одной из наиболее востребованных функций является
автоматическоепереназначение локального диска клиента при регистрации на
сервере. К сожалению, Microsoft не включила это в RDP. Обычно локальный диск
клиента имеет имя C:\ и, возможно, D:\ . Но в Terminal Services тоже есть диск
C:\. При подключении пользователя к Terminal Services и попытке сохранить
файл на диск C:\, файл запишется на локальный диск сервера, а не на машину
клиента. Клиент же Citrix позволяет переназначать локальные диски.
Распределение нагрузки
Масштабируемость продуктов Windows NT в прошлом была ключевой заботой
администратора. Но в Windows 2000 Advanced Server, Microsoft включила
сетевую балансировку нагрузки (Network Load Balancing - NLB). NLB работает на
основе протокола TCP/IP как компонент Windows Clustering. Хотя NLB изначально
создавался для поддержки Web-приложений, его можно использовать для
построения масштабируемых, надежных систем терминального доступа. Кластер
NLB может включать до 32 серверов, но они должны находиться в одной
подсети.
NLB полностью прозрачен для стека TCP/IP. Работая как сетевой драйвер, он
следит за запросами клиентов и состояниием узлов в кластере. Алгоритм
балансировки вычисляет, как должна быть распределена нагрузка и какой из
узлов ответит на запрос клиента.
Citrix MetaFrame
Citrix MetaFrame является расширением Windows 2000 Terminal Services. Он
основан на фирменном протоколе Citrix ICA. ICA абсолютно независим от RDP и
был разработан раньше. Оба протокола могут сосуществовать на одном сервере,
но Terminal Services используют только RDP, а MetaFrame - только ICA.
Протокол ICA
Протокол ICA дает пользователям и администраторам намного больше
возможностей, чем RDP 5.0. Так, ICA поддерживает полное переназначение
(mapping) локальных устройств клиента, например, аудиокарты, портов COM и
LPT, принтеров. Кроме того, ICA использует собственную систему балансировки
нагрузки Citrix Load Balancing. Клиенты ICA доступны для многих платформ,
отличных от Windows, например, Macintosh, Linux, UNIX. ICA также позволяет
теневые удаленные сеансы.
Согласно соглашению между Citrix и Microsoft, Citrix лицензировала MultiWin для
Microsoft, но осталась собственником ICA. Хотя Microsoft смогла разработать
собственный протокол RDP 4.0, ICA остался намного более продвинутым.
Особенное преимущество ICA заключается в его небольшом размере. Для ICA
требуется соединение не более 20 Кбит/с. Это значение может быть выше в
зависимости от числа клиентов, но обычный пользователь может работать с
сеансом ICA на обычном телефонном соединении со скоростью 28.8 Кбит/с с
полне приемлимой скоростью.
SpeedScreen2
SpeedScreen2 - это технология, поволяющая значительно ускорить соединение
между клиентом и сервером. SpeedScreen2 уменьшает средний размер пакета на
25-30% и позволяет поднять общую скорость передачи до 60%/ SpeedScreen2
может улучшить производительность на низкоскоростных телефонных линиях
свзи. SpeedScreen2 встроен в ICA.
ICA Browser
На каждом сервере MetaFrame выполняется служба ICA Browser. Она сообщает
состояние соединения в центральный репозитарий, называемый ICA Master
Browser. Master Browser следит за состоянием каждого сервера-члена и отвечает
за хранение информации о соединении для каждого протокола.
Для каждой подсети необходим свой Master Browser. Его выбор осуществляется
рассылкой широковещательных пакетов, которые обчно не пропускаются
маршрутизаторами. Выборы Master Browser начинаются при запуске сервера
MetaFrame или когда Master Browser перестает отвечать на запросы серверовчленов или клиентов. Процесс выборов протекает в порядке
предпочтительности:
1.
2.
3.
4.
5.
Какой ICA Browser имеет наибольший номер версии?
Какой Browser настроен для выполнения функций Master Browser?
Является ли сервер контроллером домена?
Какой из серверов имеет дольше всего работающий ICA browser?
Какой сервер MetaFrame имеет наименьшее имя в алфавитном
порядке?
Например, в одной подсети имеются серверы MetaFrame A,B и C. Серверы A и B
явно сконфигурированы как Master Browser, а сервер C имеет более свежую
версию ICA browser. В качестве Master Browser будет выбран сервер C, несмотря
на то, что серверы A и B явно сконфигурированы как Master Browser.
Совет
Если возможно, всегда устанавливайте выделенный Главный Браузер для каждой
подсети. Эта машина будет полностью и единолично отвечать за поддержку информации
об ICA-соединениях и не должна использоваться в качестве сервера приложений. Для
этого установите MetaFrame, но не активируйте сервер лицензий, а просто дайте
лицензии устареть. Это ограничит регистрацию только с консоли администратора, но
система будет работать как Master Browser. Вручную сконфигурируйте эту машину как
Master Browser и всегда обновляйте ее первой, когда выходят пакеты обновления от
Citrix.
Master Browser отвечает за хранения большого количества информации от
серверов-членов. Из-за его критически важной роли, он настраивается вместе с
резервным браузером. Обычно это машины находятся неподалеку от Master
Browser.
Master Browser хранит у себя следующую информацию:






Число клиентских лицензий
Список известных серверов Citrix
Список опубликованных приложений
Список отключенных пользовательских сеансов и серверов, на
которых они выполняются.
Расчеты нагрузки, если установлено Citrix Load Balancing.
Информацию о резервных Master Browser
Совет
Для получения списка всех серверов Citrix и информации об их состоянии используйте
утилиту QSERVER.
ICA Gateways
Поскольку Master Browser может ослуживать только свою подсеть, Citrix
изобрела шлюз ICA (ICA Gateway), чтобы позволить браузерам общаться друг с
другом. Master Browser обмениваются информацией об опубликованных
приложениях между собою с помощью пакетов TCP/IP или IPX, и все
маршрутизаторы между ними должны пропускать этот траффик. Шлюзы
независмы друг от друга. Шлюз между A и B, и шлюз между B и C, не позволяют
A общаться с C.
Для установки шлюза ICA необходимы локальный и удаленный серверы. Они не
должны выполнять функции Master Browser для своих подсетей. При запросе
связи через шлюз, локальная машина обратится к локальному Master Browser, а
тот затем к удаленному. Шлюзы могут быть установлены только между
несколькими доменами.
SecureICA
В MetaFrame встроена минимальная поддержка шифрования. Единственный
доступный уровень - основной (basic), который использует алгоритм
шифрования с ключом 40 бит. Для более защищенных соединений Citrix
выпускает дополнительный пакет SecureICA for MetaFrame. SecureICA содержит
лицензии на шифрование с ключами 40, 56 и 128 бит на основе RC5. Если
клиент использует SecureICA, то во время аутентификации всегда используется
128-битный ключ, независимо от размера ключа самого сеанса.
Взаимодействие Браузера и Клиента
ICA Master Browser является ключевым компонентом; без него клиенты ICA не
могут инициировать сеанс на сервере MetaFrame. От Master Browser клиент ICA
получает список доступных серверов и опубликованных приложений, и
определяет, к какому серверу подключиться. Клиент пытается определить Master
Browser либо на основе своих явных настроек, либо рассылкой
широковещательных пакетов и запросом ближайшего сервера Citrix. Поскольку
все сервера Citrix знают свой Master Browser, оба этих метода возвращают
правильную информацию. Однако, если сервер Citrix не найден, то необходимо
явно указать правильный адрес Master Browser
В Feature Release 1, Citrix включила возможность использования TCP вместо UDP
для поиска Master Browser. Это сильно облегчило поиск серверов через
межсетевые экраны (firewall).
Публикация приложений
Публикация приложений является важной концепцией в Citrix MetaFrame. Это
ключ к прозрачной интеграции серверов MetaFrame с вашим привычным
рабочим столом. Публикация приложений - это процесс, которым администратор
делает приложения видимыми для Браузеров ICA. Когда приложение
"опубликовано", сервер-член извещает об этом Master Browser. ICA-клиенты
могут подключаться к напрямую приложению, а не к рабочему столу.
Это неоценимо для администраторов, желающих интегрировать опубликованное
приложение в существующую среду. Пользователю достаточно щелкнуть мышью
на ярлыке на рабочем столе, чтобы инициировать соединение с приложением.
Все соединения ICA обрабатываются в фоновом режиме, и пользователю
открывается окно с опубликованным приложеием. Опубликование приложений
осуществляется посредством Менеджера Публикации Приложений (Published
Applications Manager - PAM).
Клиент ICA
Клиент ICA содержит много полезных функций, упрощающих интеграцию
опубликованных приложений на настольных ПК. Хотя большинство из этих
функций теперь доступны и в RDP 5.0, ICA превосходит по возможностям RDP.
Следующие функции доступны только в ICA:






Отображение клиентских дисков
Цельные окна (Seamless Windows)
Запуск и внедрение приложений (Application Launching and
Embedding ALE)
Программное окружение (Program neighborhood)
Улучшенные теневые сеансы (session shadowing)
Переназначение клиентских устройств (client devices mapping)
Помимо переназначений принтеров, ICA позволяет переназначать порты COM и
аудиоустройства. Аудио может быть включено или выключено в настройках
клиента. Порты COM автоматически не переназначаются; для этого в должны
использовать команду NET USE. Например, COM1: на клиенской машине можно
переназначить на \\Test\COM1. Также есть команда change client для
изменения переназначения.
Замечание
Включение отображения COM и аудио значительно увеличивает требования к пропускной
способности канала. Будьте очень внимательны, включая эти функции.
Одним из важнейших улучшений ICA состоит в возможности переназначения
локальных дисков клиентов. Это позволяет пользователям легко переносить
информацию с локальной машины на сервер и наоборот без необходимости
выходить из сеанса MetaFrame и подключения сетевого диска вручную. Citrix
делает это переназначение локальных дисков при регистрации, делая их
доступными клиенту. Это можно сделат несколькими способами. Чаще всего
локальным дискам присваиваются буквы, отличные от C:\ или D:\. При
установке MetaFrame у вас спрашивают, хотите ли вы переназначить локальные
диски, и какую букву для этого использовать. По умолчанию это M:\. Если вы
выбрали этот способ, то все клиентские диски будут автосоздаваться по
принципу один в один. Т.е. C:\ на сервере MetaFrame будет локальным диском
C:\. Если диски сервера не переназначаются, то клиент создает буквы
локальных дисков на сервере начиная с V:\ и далее назад. Другими словами,
локальный C: будет виден как V:, D: - как U:, и так далее. Это предотвращает
конфликты с системой переназначения дисков поиска в Novell Netware. Если
буква уже назначена на сервере, она пропускается и используется следующая.
Автоматическое переназначение можно выключить на уровне пользователя с
помощью консоли User Manager MMC или утилитой Citrix Connection
Configuration. Выключение автоматического переназначения не предотвращает
пользователя от его ручного включения. Вы должны предпринять определенные
меры безопасности.
Принтеры создаются почти так же, как в RDP. После выхода пользователя
принтер удаляется. Следует осторожно подходить к автосозданию принтеров.
Хотя это очень удобно, сеть может оказаться перегруженной. При отправке
задания на печать через клиентское отображение, оно посылается с сервера
MetaFrame назад клиенту для помещения в очередь, а затем снова через сеть на
принтер. Если принтер отображен на Terminal Services, задание помещается в
очередь на сервере, и посылается на принтер без постановки в очередь клиента.
Цельные окна
При разработке цельных окон (seamless windows) придерживались концепции,
что пользователь не должен ничего знать от том, как выполняется удаленная
программа. Используя технологию цельных окон, администратор размещает
ярлык, запускающий сеанс ICA, прямо на рабочем столе клиента. Цельные окна
доступны только в 32-битном клиенте. У каждого окна можно изменить его
размер, оно видно в панели задач, откликается на Alt-Tab. Пользователь может
открыть несколько цельных окон.
Центр соединений ICA следит за всеми открытыми или отключенными
соединениями. Его можно запустить, щелкнув на иконке ICA в нижнем правом
углу панели задач. Если установлен пул лицензий, то для цельных окон нужна
всего одна лицензия - независимо от количества открытых окон. В противном
случае для каждого отдельного соединения с сервером необходима отдельная
лицензия.
Application Launching and Embedding (ALE)
Еще одной ключевой особенностью клиента ICA является возможность
использования веб-браузера для запуска встроенного или цельного приложения.
Технология ALE позволяет публиковать приложения и ставить ссылку на них в
веб-страницах. Такие приложения могут затем запускаться либо в цельных
окнах, либо внутри окна веб-браузера. Для этого существуют компоненты
ActiveX и плагины для Netscape.
Совет
Будьте осторожны при использовании встроенных приложений. Если пользователь
нажмет в браузере стрелки вперед или назад, или загрузит другую страницу, соединение
с сервером MetaFrame будет утеряно.
Программное окружение
Клиенты Win32 или Java ICA имеют в распоряжении Программное Окружение,
предоставляющее единый блок подписки на приложения, к которым у
пользователя есть права в Server Farm (о нем мы поговорим позже).
Пользователю следует зарегистрироваться в Программном Окружении, а затем,
используя свои регистрационные данные, запускать любое приложение. Кроме
того, для каждого пользователя можно настроить его собственный набор
приложений. Эти наборы создаются администратором. Пользователь также сам
может создать собственное соединение ICA, существующее независимо от
набора приложений.
Теневые сеансы
ICA позволяет теневые сеансы типа один к одному, один ко многим, многие к
одному. Это может использоваться для обучения персонала. Теневые сеансы
управляются с помощью панели теневых сеансов (Shadow taskbar). Здесь очень
важно уделить внимание вопросам безопасности. Уделите внимание следующим
аспектам:






Для теневых сеансов требуется такой же или более высокий
видеорежим. Это относится не только к глубине цвета, но и к
разрешению экрана.
Пользователю выдается запрос на подтверждение теневого сеанса,
если только вы не настроили не спрашивать разрешения
пользователя.
В отличие от RDP, теневые сеансы могут осуществляться на разных
серверах
Оба сеанса должны использовать одного и того же клиента (либо
ICA, либо RDP)
Нельзя наблюдать за пользователем консоли, но тот может следить
за другими.
Нельзя следить за сеансами опубликованных приложений
Сервер MetaFrame
Конечно, все эти прелести протокола ICA невозможны без самого сервера
MetaFrame.
MetaFrame - это серверная модель, позволящая "толстым" и "тонким" клиентам
получать доступ к приложениям в многопользовательской среде. Вся обработка
осуществляется на серверах MetaFrame. Старые компьютеры типа 286 или
терминалы Wyse могут пользоваться всеми преимуществами MetaFrame.
Терминалы тонких клиентов, известные как Windows-терминалы (WBT),
поскольку у них есть встроенная операционная система, например, DOS,
используют протоколы RDP или ICA для подключения к многопользовательской
среде. Приложения не выполняются на них, поскольку они имеют лишь чуть
больше, чем клавиатуру, дисплей и примитивную ОС. WBT используются в
качестве торговых и банковских терминалов, а также в случаях, когда
пользователю не нужны вычислительные возможности вне сеансов MetaFrame.
Поскольку требования к аппаратному обеспечению значительно ниже, они
намного дешевле и проще в обслуживании, чем традиционные ПК. Кроме того,
WBT способствуют централизации администрирования сеансов пользователей.
Большинство WBT не имеют жестких дисков, поэтому являются весьма
защищенными устройствами.
Промышленное использование MetaFrame
Мы уже упомянули Microsoft Network Load Balancing (NLB). NLB позволяет
максимум 32 серверам Windows 2000 Advanced Servers образовать кластер.
Проблема с NLB состоит в том, что он не зависит от RDP и не учитывает его
особенности, например, отключения клиентов. Кроме того, NLB может
балансировать нагрузку, основываясь на других факторах, кроме
пользовательских подключений. К счастью, Citrix решила эту проблему в своем
компоненте Citrix Load Balancing (CLB). CLB является дополнением к MetaFrame и
позволяет произвольному количеству серверов публиковать приложения для
пользователей ICA. Распределение нагрузки полностью прозрачно для
пользователей, поскольку доступ к приложению осуществляется по его имени, а
не адресу сервера. CLB использует расчет нагрузки для опрделения сервера,
которому следует передать запрос на открытие сеанса
Для Citrix Load Balancing необходима индивидуальная лицензия на каждый
сервер, включенный в группу распределения нагрузки. Кроме того, каждое
приложение необходимо отдельно установить на каждом сервере, на котором
оно может выполняться. Сервера могут добавляться в группу балансировки
нагрузки "на лету". Если сервер удаляется из группы, текущие пользователи не
затрагиваются, но новые не могут подключаться к данной машине за данным
приложением.
Citrix Load Balancing легче в освоении и реализации, чем NLB. Включение CLB
обычно сводится к установки соответствующей лицензии, установке
приложения, добавления сервера в список серверов, выполняющих это
приложение. Никакого дополнительного аппаратного или программного
обеспечения не требуется.
Server Farm
Для улучшения масштабируемости MetaFrame, Citrix представила концепцию
Server Farm. Это группа серверов, которые обычно публикуют одно приложение,
логически сгруппированы для централизованного управления, и предоставляют
большое число публикуемых приложений многим пользователям. Фермы
предотвращают множественные регистрации, делая аутентификацию
пользователя во время регистрации его в Программном Окружении (Program
Neighborhood) и передавая эти учетные данные любому серверу, к которому
делается запрос.
Кроме того, Server Farms позволяют администраторам легко распространять
наборы приложений пользователям на основе их прав доступа. После
регистрации в Программном Окружении, им даются ярлыки на те приложения, к
которым им разрешен доступ.
Рядом могут сосуществовать несколько ферм, они полностью независимы друг от
друга. Пользователь должен зарегистрироваться в нужной ферме, а серверы
MetaFrame могут принадлежать только одной из ферм. Несколько ферм могут
быть полезны в географически распределенной организации или при наличии
нескольких доменов, между которыми нельзя установить доверительные
отношения.
Инструменты MetaFrame
Activation Wizard
Для активирования лицензий Citrix, вам необходимо получить правильный код
активации от Citrix и ввести его в утилиту Citrix Licensing. Большинство
продуктов Citrix имеют бесплатный период работы, в течении которого вы
можете использовать лицензию без ее активации (35 дней для базовой
лицензии). Для получения кода активации вы можете использовать Activation
Wizard для подключения к опубликованному приложению, работающего на
сервере в комапнии Citrix.
Citrix Connection Configuration (CCC)
CCC предоставляет те же услуги, что и утилита Terminal Services Configuration.
Citrix Server Administration (CSA)
Это расширенная версия Terminal Services Manager for Windows 2000. Хотя она
выглядит почти так же, CSA содержит дополнительные закладки внизу экрана
для доступа к свойствам опубликованных приложений, просмотра Server Farms,
вывода соединений ICA. Кроме того, CSA используется для настройки Master
Browsers.
Citrix Licensing
Это средство позволяет добавлять, удалять, активировать и управлять
лицензиями. Оно используется совместно с Activation Wizard для управления
лицензиями на каждом сервере MetaFrame.
ICA Client Update Configuration
Позволяет централизованное управление версиями клиентов ICA. С помощью
этой утилиты администратор может "протолкнуть" новые версии клиентов
пользователям, когда те пытаются зарегистрироваться старыми версиями.
Обновление происходит прозрачно для пользователя или их можно принудить
сделать обновление перед подключением.
Load Balancing Administration (LBA)
Используется для настройки параметров распределения нагрузки на любом
сервере MetaFrame, где она включена. Нагрузка рассчитывается на основании
шести факторов:

Число пользователей. Рассчитывется на основании соотношения
числа текущих пользователей и общего числа лицензий (или
максимального числа пользователей, поддерживаемого системой).





По умолчанию общее число поддерживаемых пользователей
составляет 10,000. Это число может быть настроено, чтобы
реально отражать возможности сервера.
Использование файла подкачки. Это отношение текущего
размера файла подкачки к минимальному свободному месту на
диске, доступного для файла подкачки. Этот параметр также
можно настроить.
Активность файла подкачки. Среднее количество обращений к
файлу подкачки в секунду.
Использование процессора. Средний процент использования
процессора.
Загрузка памяти. Отношение свободной памяти к общему объему
памяти.
Сеансы. Как и в RDP, это отношение текущего числа сеансов к
общему числу возможных сеансов.
Внимание
Citrix Load Balancing не учитывает соединения по протоколу RDP при расчете параметра
"Сеансы". Для учета сеансов RDP используются параметры использования процессора и
памяти.
Published Application Manager (PAM)
PAM отвечает за настройку опубликованных приложений, используется для
управления Server Farms, установки параметров балансировки нагрузки для
опубликованных приложений, создает шаблоны ICA и HTML для публикования
приложений на веб-странице. Большинство из функций PAM имеют собственных
мастеров.
Shadow Taskbar
Позволяет наблюдать за сеансами других пользователей ICA. Простая панель
задач позволяет создать теневые сеансы с одним или несколькими сеансами.
Citrix и Интернет
Говоря о преимуществах удаленного управления, мы также говорим о
расширении удаленных вычислений на Интернет. Предприятия разрешают своим
сотрудникам работать дома и устанавливать соединенеия через интернет, и тут
возникают проблемы безопасности.
Citrix попыталась решить эту проблему, сделав приложения более
дружественными посредством их публикации. Поскольку приложение может
быть запущено в цельном окне по ссылке на веб-странице, администраторы
могут использовать свои веб-серверы для предоставления доступа удаленным
пользователям к приложениям через глобальную сеть. Для шифрования
траффика можно использовать SecureICA, но дырки в корпортивных
брандмауэрах могут сделать соединения уязвимыми для атак.
Чтобы обойти эти проблемы, Citrix предложила NFuse. Это добавление к
серверам поволяет сделать веб-версию Программного Окружения в виде
динамически генерируемой веб-страницы. При этом используется веб-сервер,
делающий аутентификацию пользователей в базе данных домена Windows NT.
После успешной аутентификации сервер MetaFrame с установленным NFuse
выдает набор приложений в формате Web. NFuse может использовать SSL для
обеспечения защищенных соединений. NFuse не требуется для установления
соединения с сервером MetaFrame через Интернет; просто это самый легкий и
безпасный способ.
Выбор между Terminal Services и MetaFrame
Сложно сделать выбор между этими двумя технологиями. Необходим тщательный
анализ ваших потребностей и получаемых преимуществ.
Особенность
Terminal Services
MetaFrame
Автоматическое создание
принтера при подключении
Да
Да
Синхронизация буфера обмена
между сервером и клиентом
Да
Да
Переназначение локальных
дисков
Нет
Да
Теневые сеансы
Да (один к одному)
Да (один к одному,
один к многим)
Распределение нагрузки
Да. но без учета RDP
Да, интегрировано в
ICA
Шифрование
Да
Да, но только с
SecureICA или Feature
Release 1
Публикация приложений
Нет
Да
Прямой доступ через модем
Нет
Да
Публикация в Web
Нет
Да
Глубина цвета 24 бит
Нет
Да
Стоимость технологии тонкого клиента
Основным преимуществом технологии тонкого клиента является снижение общей
стоимости владения (TCO). Это легче представить, если разбить стоимость на
два компонента - стоимость аппаратного обспечения и стоимость программного
обеспечения. Расходы на прогрммное обеспечение также включают в себя
расходы на поддержку, обучение, решение проблем. Расходы на ПО труднее
подсчитать. Целью TCO является получение максимальной отдачи от инвестиций
(ROI) с минимальными вложениями.
Расчет расходов на оборудование
Сначала следует определиться, какую технику и ПО мы будем использовать. В
случае тонкого клиента можно посчитать имеющеся компьютеры и прикинуть,
подойдут ли они для наших нужд. Например, старые ПК 386 с операционными
системами DOS или Windows 3.11 могут использовать 16-битного клиента с
Terminal Services и MetaFrame. Рабочие станции UNIX также могут выступать в
роли клиентов ICA для MetaFrame.
Чтобы определить, будет ли Terminal Services или MetaFrame недорогим
решением, сравним модернизацию компьютеров с решением на основе
MetaFrame. Допустим, есть компания, состоящая из 500 сотрудников, желающих
иметь рабочий стол Windows 2000. Из существующих компьютеров, 350
способны запускать у себя Windows 2000 Professional, а остальные 150
необходимо модернизировать. Кроме того, сетевые менеджеры определили, что
потребуется еще $110,000 на новые программы и лицензии, чтобы перевести
всех пользователей на Windows 2000 Professional. Число одновременно
работающих пользователей будет около 300.
Модернизация ПК
Решение "тонкий клиент"
150 ПК по $1400
каждый
3 сервера (по 125
$210,000 пользователей), $30,000
каждый
Программы на 500
пользователей
$110,000
Итого
Программа на каждого
пользователя
$330,000 Итого
$90,000
$45,000
$135,000
Если эти цифры верные, компания должна подумать о переходе на технологию
"тонкий клиент", вместо модернизации устаревших компьютеров. В нашем
примере экономия составляет $195,000. Но что если все существующие
компьютеры способны запускать у себя Windows 2000 Professional? В этом случае
дешевле купить новое программное обеспечение. К сожалению, учет только
расходов на технику не позволяют выбрать правильное решение.
Расходы на программное обеспечение
Расходы на ПО труднее подсчитать. Они включают в себя расходы на
переобучение персонала, техническую поддержку, сопровождение, будущие
расходы. Как правило, это долговременные расходы. Для определения расходов
на ПО следует учитывать:



Частоту обновлений. Как часто вам следует обновлять
программы? Как долго текущая спецификация системы будет
поддерживаться новыми версиями ПО?
Типы пользователей. Будут ли пользователи чаще соединяться с
сервером дистанционно? Если да, то какая предполагается
скорость соединения?
Обучение пользователей. Необходимо ли обчение
пользователей новым пакетам программ? Сколько пользователей
необходимо обучить и какие знания они должны получить?

Стоимость сопровождения техники. Сколько вы тратите на
обслуживание оборудования и нужно ли вам новое?
Terminal Services и MetaFrame позволяют использовать устаревшее
оборудование в качестве клиентских машин. Благодаря этому вам придется
модернизировать их гораздо реже.
Еще одним типом издержек, которые сложно оценить, это будущие требования
ваших пользователей. Вы должны быть реалистом. Как часто вы ставили новые
версии программ в прошлом? Довольны ли пользователи существующими
программами или требуют новые версии? Потребуется ли пользователям
специальное обучение или они усваивают новые технологии на лету?
Необходимо учитывать все эти факторы.
Глава 1: Служба маршрутизации и удаленного Доступа
(RRAS)
Введение
Серверы удаленного доступа используются удаленными пользователями,
которым необходим доступ к данным и приложениям, находящимся на
корпоративном сервере. Самыми первыми способами подключения были
терминалы мейнфреймов, но вскоре пользователям понадобился доступ к ПК,
включенным в локальную сеть. Так родился удаленный доступ.
Удаленное управление сетевыми компьютерами требовало наличия выделенных
ПК, готовых принимать запросы от множества пользователей. Неудивительно
видеть в компаниях большие стойки модемов и ПК, ожидающих телефонных
соединений. Удаленный доступ вырос из такой же необходимости, но является
более дешевым вариантом, поскольку для каждого удаленного пользователя
требуется только по модему, а не по отдельному ПК. Модем выполняет роль
сетевого адаптера.
Проектирование RAS
Серверы в сети
Реализация удаленного доступа в сети Windows 2000 может стать весьма
сложной задачей. Обычно простого решения Службы Удаленного Доступа (RAS)
достаточно для удовлетворения нужд простой организации. Но по мере роста
компании и количества пользователей необходимо уделить внимание
тщательному проектированию среды RAS.
Определение мощности серверов
Необходимо тщательно проанализировать ваши потребности в удаленных
вычислениях и учесть все факторы. Ваши пользователи работают в он-лайне или
офф-лайне? Перемещают они большие объемы данных? Будет ли RAS
обслуживать как удаленных, так и локальных клиентов? Будет ли
использоваться технология VPN? Какой размер будет занимать ваша
пользовательская база? Все это следует учитывать при выборе аппаратной
спецификации RAS-сервера.
Другим ключевым фактором является тип службы RAS. Для клиентов,
подключающихся с использованием службы удаленного доступа к сети (Dial-Up
Networking - DUN) необходимо иное аппаратное и программное обеспечение, чем
для использующих VPN. Windows 2000 RAS предусматривает подключения типа
"точка-точка", "сеть-сеть" (LAN-LAN), "сеть-глобальная сеть" (LAN-WAN).
RAM
Оперативная память (RAM) является самой важной частью системного
аппаратного обеспечения. Без достаточного объема памяти сеанс RAS может
сильно замедлиться из-за постоянного обращения к файлу подкачки. Подкачка это процесс перемещения данных из высокоскоростной оперативной памяти на
низкоскоростной жесткий диск. Проблема состоит в том, что процесс подкачки
значительно замедляет процесс обработки данных. Поэтому мы рекомендуем,
чтобы оперативная память была первой в списке пожеланий при расчете
стоимости.
У вас никогда не будет слишком много памяти. Рекомендуется 128 Мбайт, но в
зависимости от количества пользователей и функций сервера RAS может
потребоваться намного больше. Помните, мы говорим о памяти не только для
удаленного доступа. Вам потребуется достаточное ее количество для
операционной системы и других служб сервера. Многие компании используют
сервера RAS также в качестве файловых серверов и серверов печати. Хотя это
возможно, но при неадекватной аппаратуре обе роли будут выполняться плохо.
И уж совсем не следует использовать сервер RAS как сервер базы данных.
Процессоры
Мощность процессора является еще одним ключевым параметром. Выделенные
серверы RAS используют ресурсы процессора в основном на нужды опеационной
системы и задачи маршрутизации. Поэтому суперсовременный процессор для
RAS не обязателен. Подходящим процессором может быть Pentium III (PIII) 450
MHz или выше. При выборе аппаратуры обязательно сверяйтесь со Списком
Поддерживаемого Аппаратного обеспчения Microsoft (Hardware Compatibility List
- HCL).
Естественно, если вы используете сервер RAS также для других приложений, то
требования к мощности процессора возврастают. Например, серверы RAS с
Terminal Services поребляют больше ресурсов процессора. Для критически
важных серверов рекомендуются двухпроцессорные отказоустойчивые системы.
Устройства хранения
Обычно объем жеского диска учитывается в последнюю очередь. Внимательно
подходите к выбору устройств хранения данных; поскольку он тоже может
влиять на скорость службы RAS. Дискового протсранства должно хватать для
хранения пользовательских профилей, данных, операционной системы.
Устройства хранения данных должны быть быстрыми и надежными.
Низкоскоростные диски сведут на нет преимущества быстрой RAM, поскольку
всегда существует неизбежный обмен между информацией в памяти и
информацией на диске. Чем больше скорость обмена, тем выше
производительность.
RAID
Дисковые массивы, RAID, используются для обеспечения высоких
отказоустойчивости и скорости передачи данных. Скорость увеличивается
потому, что несколько дисков в массиве могут читать и записывать
одновременно. Отказоустойчивость достигается использованием либо
зеркалированием дисков, либо проверкой четности, при которой бит диска 1
комбинируется с битом диска 2 булевой операцией XOR, а результат
записывается на диск 3. Если один из дисков выходит из строя, информацию
можно восстановить.
Дисковые массивы релизуются с помощью аппаратных RAID-контроллеров или
программно. Второй способ значительно медленнее аппартного.
Fibre Channel
Fibre Channel - это специальная технология, предназначенная для
сверхскоростных коммуникаций между устройствами хранения данных и
сетевыми устройствами.
С помощью Fibre Channel узлы могут обращаться к устройствам хранения (через SCSI) и к
другим узлам (по протоколу IP). Fibre Channel спроектирована для работы по
оптоволокну, коаксиальному кабелю или витой паре. Каждый порт Fibre Channel для
приема и передачи использует два кабеля. Передатчик на одном конце подключается к
приемнику на другом.
Сети хранения данных (Storage Area Networks -SAN)
С ростом возможностей передачи данных становится важным быстрая выборка
данных из централизованных и распределенных систем хранений данных. SAN
обычно использует Fibre Channel и обеспечивает скорость передачи до 4.25 Гб/с
в оба конца. Централизованное хранилище представляет собой большое
устройство хранения данных, обычно RAID-кабинет, которое используется
несколькими узлами. Оно обеспечивает надежное хранение данных, простоту
администрирования, быструю выборку данных.
Из-за высокой скорости Fibre Channel узлы SAN могут находится как в локальной
сети, так и на сравнительно большой территории.
Сетевые интерфейсы
Сетевые адаптеры используются сервером RAS для связи с остальной частью
сети. Чаще всего используются 10- и 100-мегабитные адаптеры Ethernet.
Скорость связи через адаптер непосредственно не влияет на производительность
RAS, но влияет на связь с остальной частью сети. Для сервера, совмещающего
RAS и приложения, это не имеет значения. Однако, в такая конфигурация
используется редко. Чаще удаленным пользователям требуется доступ к другим
сетевым ресурсам. Тут и возникает важность сетевого адаптера.
Выбор сетевого адаптера полностью зависит от типа сетевой инфраструктуры.
Если вы используете 10-мегабитный Ethernet, то подойдет адаптер 10/100Megabit Ethernet. В 100-мегабиной сети этот же адаптер даст вам скорость в 10
раз выше (теоретически).
Кластеры
Объединение серверов в кластеры является прекрасным способом обеспечения
отказоусточивости RAS. В кластере все машины соединены друг с другом для
обеспечения непрерывной доступности приложений и служб. Если один из
членов кластера выходит из строя, остальные будут продолжать оказывать
услуги. Как правило, в кластере используется балансировка нагрузки.
Модемы
Выбор модемов, подходящих под ваши требования, чрезвычайно важен в
проектировании RAS. В первую очередь вам следует определить общее число
одноврменно работающих пользователей. Если это будет RAS для двоих, то
можно вставить в сервер пару модемных плат и на этом ограничиться. Но что
делать с сотней одновременных соединений? Для этого необходимо
специализированное оборудование.
Большинство телефонных коммуникаций имеют скорость 56Kbps на базе
протокола V.90. Это максимум, что может обеспечить телефонная линия.
Большинство соверменных модемов имеют скорость 28.8, 33.6 или 56 Kbps. Если
вы хотите использовать банк модемов (группу модемов в стойке), а пользователь
пытается соединиться на 56К, убедитесь, что модемы на вашей стороне могут
обеспечить соединение 56К.
Замечание
Вы никогда не добьетесь соединения на полные 56К. Согласно стандартам U.S. FCC,
максимальная скорость передачи в телефонной сети США составляет 53К.
Мультипортовые карты
Для подключения нескольких модемов к серверу вы можете использовать
мультипортовые последовательные карты. Они бывают двух типов.
Неинтеллектуальные карты используют ресурсы центрального процессора для
обработки данных при отправки их через последовательный интерфейс. Это
означает, что каждый порт карты прерывает CPU всякий раз во время приема
или передачи данных. Это может существенно снизить производительность
вашего сервера RAS. Интеллектуальные карты осущствляют большую часть
обработки данных независимо от центрального процессора. Они даже могут
содержать несколько процессоров для поддержки большого числа портов.
Центральный процессор все еще отвечает за передачу данных от
последовательного порта в систему. Интеллектуальные карты снимают
ограничения на количество последовательных портов, используемых сервером
RAS. Без них можно обеспечить 100%-ю загрузку сервера всего 20 сенсами
модемных пользователей.
Последовательные карты
Использование последовательных карт, как интеллектуальных, так и нет, имеет
общую схему. В сервер вставляется плата ISA или PCI, имеющая порт для
подключения большого кабеля, называемого "осьминогом". "Осьминог" состоит
из нескольких 9- или 25-жильных кабелей, сходящимя в один большой разъем,
подключаемый к плате. При большом количестве портов вы можете обратить
внимание на концентраторы последовательных портов.
Концентратор состоит из специального кабеля, подключаемого к
последовательной карте, и внешнего устройства, которое можно установить в
отдалении от сервера. Концентраторы можно соединять в цепочку, увеличивая
тем самым количество портов. Однако, чем больше концентраторов, тем меньше
максимальное расстяние до сервера. Обычно концентраторы поставляются с
числом портов, кратным 16. Часто они требуют специализированные кабели от
производителя.
Высокоскоростные соединения
Все больше и больше пользователей переходят на ISDN, ADSL и кабельные
модемы. Пользователи ISDN могут подключаться со скоростями 64Kbps или
128Kbps, ADSL - до 9 Mbps, пользователи кабельных модемов - до 2Mbps. Такие
соединения требуют специального оборудования и линий связи. Решение того,
стоит ли их использовать, может быть затруднительным. Пользователи ISDN
могут звонить непосредственно в вашу сеть (если вы способны принимать звонки
ISDN), но пользователи кабельных модемов и ADSL должны подключаться через
внешнюю сеть. Это означает, что в вашем защитном экране должно быть
открыто окно, что может потребовать VPN-соединения.
Сегодня очень популярны решения на основе ISDN. Соединение ISDN состоит из
линии ISDN и терминального адаптера (ТА) на стороне клиента. На сервере
устанавливается Primary Rate Interface (PRI) или отдельная линия ISDN к ISDNадаптеру или маршрутизатору. Для ISDN требуется специальная линия,
называемая Basic Rate Interface (BRI), состоящая из двух каналов B и одного
канала D. Каналы B обычно по 64К и могут передавать либо голос, либо данные.
Это означает, что пользователь может одновременно разговаривать и передавать
данные со скоростью 64К. По завершении разговора каналы автоматически
сливаются и обеспечивают скорость 128 Кбит/с. Канал D используется для связи
с телефонной компанией.
Размещение серверов RAS в локальной сети
Итак, вы получили оборудование. Но куда его ставить? Некоторые
рассчитывают, что могут поставить его куда-нибудь в угол и надолго забыть про
него . На самом деле, если вы основательно не подумаете о размещении RASсервера, вы можете перегрузить сегмент локальной сети и ограничить ваших
удаленных пользователей. Они и так ограничены скоростью в 56К. Помещение
их в загруженный сегмент еще больше снизит скорость передачи. Поэтому
учитывайте пропускную способность канала связи. Существует простое правило:
чем выше пропускная способность, тем выше возможностей для
производительной работы пользователей (обратите внимание, что я не говорю
"производительность". Это зависит от пользователя!). Если удаленный
пользователь вынужден ждать пять минут загрузки файла с сервера, эти пять
минут потеряны для вас.
Выбирая место для размещения сервера RAS, определите, к каким сетевым
ресурсам будут чаще всего подключаться пользователи. Это позволит
определить потенциальные узкие места.
На следующем рисунке приведена схема сети компании ACME с сервером RAS на
30 пользователей. Они решили поместить сервер рядом с рабочим местом
администратора для упрощения администрирования и надзора да
пользователями. Обычно пользователи пользуется файл-сервером и плоттером.
Когда пользователь подключается к RAS, чтобы достичь 100-Мб магистрали, он
должен пересечь сегмент А (10 Мбит). Из этого вытекает, что устройства на
сегментах А и В будут использовать 10 Мбит. Поэтому следует разместить сервер
в сегменте А, а еще лучше - на выделенный сегмент. Это позволит
пользователям наиболее полно использовать пропускную способность сети.
Протоколы удаленного доступа
Сегодня удаленный доступ становится все более и более сложным. Существуют
сотни разновидностей модемов, как минимум пять основных операционных
систем (Win95, Win98, NT 4.0, Windows 2000, Windows Millennium), большое
количество способов подключения к удаленной сети. В этих условиях выявление
ваших потребностей становится непростой задачей. Определив спектр
предоставляемых вами услуг, вы должны представить, как вы будете это делать.
Мы уже обсудили аппартное обеспечение, займемся теперь программами. Самой
важной вещью является тип используемого протокола.
Модемные клиенты
Модемные клиенты - это удаленные пользователи, подключающиеся к сети
через стандартное решение RAS. Это означает, что они дозваниваются
непосредственно на сервер RAS. Они ограничены скоростью 56Кбит/с и им
требуется только программа связи и модем. Для посдедовательных линий
существуют два протокола - Point-to-Point Protocol (PPP) и Serial Line Internet
Protocol (SLIP).
PPP и SLIP
Это два основных протокола, используемых в настоящее время. Самый старый
из них SLIP; он позволяет пользователю устанавливать последовательное
соединение и передавать по нему пакеты IP. В настоящее время он повсеместно
заменен протоколом PPP, поскольку он не может предоставить такой же уровень
безопасности, как PPP.
PPP разработан в 1991 году и позволяет осуществлять соединения по
общественным телефонным линиям или высокоскоростным соединениям. PPP
делает это инкапсуляцией других протоколов в специальные сетевые
управляющие пакеты. Чаще всего используются IP и IPX. PPP может заменить
драйвер серевого адаптера. Это означает, что пользователь рассматривается как
узел в сети. Кроме того, PPP может автоматически перезванивать в случае
обрыва соединения, поддерживает аутентификацию пользователя по паролю с
помощью протоколов PAP и CHAP.
CHAP и PAP
При аутентификации по методу PAP сервер содержит список имен и паролей
пользователей, с которым сравнивает имя и пароль, полученные от удаленного
пользователя. Эта информация не шифруется и поэтому уязвима для атак.
С другой стороны, CHAP полностью шифрует имя и пароль, получая от
удаленного сервера ключ. Шифрование CHAP динамическое, поскольку
пользователь при каждом соединении получает другой ключ. Это предотвращает
перехват паролей по сети. Большинство сетей RAS используют комбинацию PPP
и CHAP.
Клиенты VPN
Назначение VPN - предоставить пользователям защищенное соединение к
внутренней сети из-за пределов ее периметра, например, через интернетпровайдера. Основное преимущество VPN состоит в том, что пока программное
обеспечение его поддерживает, пользователь может подключаться к внутренней
сети через любое внешнее соединение. Это означает, что высокоскоростные
устройства, например, ADSL, могут обеспечивать соединение с внутренней сетью
и функционировать с полной нагрузкой. Это особенно удобно для
пользователей, постоянно работающих на дому.
Существует два основных типа VPN. Первое решение основано на специальном
оборудовании; на сервере и клиенте устанавливается специальное программное
обеспечение, обеспечивающее защищенное соединение. Есть два
распространенных решения - Altiga (от Cisco) и RedCreek.
Второй тип решения - это управляемый VPN.В этом сценарии некоторый
провайдер предоставляет пользователям возможность дозвона на свой модемный
пул, а затем устанавливать защищенное соединение с вашей внутренней сетью.
Преимущество этого метода состоит в том, что все управление VPN
перекладывается на другую компанию. Недостатком является то, что как
правило эти решения ограничиваются модемными соединениями, что зачастую
сводит на нет преимущества технологии VPN.
VPN использует несколько разных технологий защиты пакетов. Целью VPN
является создание защищенного туннеля между удаленным компьютером и
внутренней сетью. Туннель передает и кодирует траффик через незащищенный
мир Интернет. Это означает, что два корпоративных сайта могут использовать
VPN для связи друг с другом. Логически это работает как WAN-связь между
сайтами.
Преимущества VPN очевидны. Предоставив пользователям возможность
соединяться через Интернет, масштабируемость достигается в основном
увеличением пропускной способности канала связи, когда сеть становится
перегуженной. VPN помогает съкономить на телефонных расходах, поскольку
вам не требуется иметь дело с пулом модемов. Кроме того, VPN позволяют
получить доступ к сетевым ресурсам, которые в обычной ситуации
администраторы вынуждены выносить на внешнее соединение.
Рассматривая VPN как подходящее решение, вы должны учитывать некоторые
вещи:




Поддержка нескольких протоколов. Любое решение должно
быть способным работать с популярными протоколами
обественных сетей (например, IP, IPX, и т.п.).
Механизм аутентификации. Должен существовать способ
проверки пользователей и ограничения их прав. Также желателен
аудит.
Шифрование данных. Ваше решение должно шифровать данные,
передаваемые по защищенному туннелю.
Управление адресами клиентов. Решение должно быть
способно присваивать внешнему клиенту внутренний адрес, чтобы
сеть рассматривала его как локальный узел. Настоящий адрес
клиента (присваеваемый ему провайдером), должен держаться в
тайне от внешнего мира для предупреждения хакерских атак.
В каких же случаях использовать VPN? Это зависит от ваших требований к RAS.
Если у вас много путешествующих пользователей, которым нужен доступ в
интрасеть независимо от местонахождения, VPN будет правильным выбором. Вы
также можете использовать комбинацию RAS и VPN для осуществления
безопасной связи между кампусами, как показано на рисунке:
1. Удаленный
пользователь
дозванивается на
RAS
2. RAS
аутентифицирует
пользователя.
3. Удаленный
пользователь
запрашивает
файл с кампуса В
и этот запрос
посылается на
сервер VPN.
4. Сервер VPN
отправляет запос
через межсетевой
экран и далее
через Интрнет на
удаленный
кампус.
5. Сервер VPN в
удаленном
кампусе получает
запрос и
устанавливает
защищенный
канал между
кампусами А и В.
6. Посе
установления
туннеля, файл
пересылается с
кампуса В в
кампус А через
сервер VPN, а
затем
удаленному
пользователю.
В следующем разделе сы поговорим о протоколах VPN-соединений: Point-to-Point
Tunneling Protocol (PPTP) и Layer 2 Tunneling Protocol (L2TP).
PPTP
PPTP обеспечивает безопасность инкапсуляцией кадра PPP в датаграмму IP,
передаваемую между сетями. PPTP может использоваться в схемах LAN-to-LAN и
WAN-to-WAN. PPTP использует такой же маханизм аутентификации, что и PPP. В
нем могут использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva PAP
(SPAP), и Extensible Authentication Protocol (EAP). PPTP может шифровать
траффик IP, IPX или NetBEUI. Туннели устанавливаются, когда оба конца
договариваются о параметрах соединения. Сюда включается согласование
адресов, параметры сжатия, тип шифрования. Сам туннель управляется
посредством протокола управления туннелем.
PPTP включает много полезных функций. Среди них сжатие и шифрование
данных, разнообразие методов аутентификации. PPTP доступен во всех текущих
платформах Windows.
L2TP
PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями.
Протокол Layer 2 Tunneling Protocol (L2TP) является комбинацией протоколов
PPTP и L2F, предложенный компанией Cisco.
Оба протокола очень сходны по функциям, поэтому IETF предложила объединить
их в один. В результате появился L2TP, описанный в RFC 2661. L2TP использует
достоинства как PPTP, так и L2F.
L2TP инкапсулирует кадры как сообщения UDP и передает их по сети IP. Эти
сообщения используются для управления и передачи данных Для шифрования
используется IPSec. Как и PPTP, L2TP использует методы те же аутентификации,
что и PPP. L2TP также подразумевает существование межсетевого пространства
между клиентом L2TP и сервером L2TP. Поскольку управлением туннелем L2TP
производится по тому же UDP-соединению, что и передача данных, оба типа
пакетов имеют одинаковую структуру. Стандартный порт L2TP для сервера и
клиента в Windows 2000 - 1701 UDP.
Что же в результате выбрать? Если для PPTP необходима межсетвая среда на
базе IP, то L2TP нуждается в соединении "точка-точка". Это означает, что L2TP
может использоваться поверх IP, Frame Relay, X.25, ATM. L2TP поволяет иметь
несколько туннелей. PPTP ограничен одним туннелем. L2TP разрешает
аутентификацию туннеля Layer 2, а PPTP - нет. Однако, это преимущество
игнорируется, если вы используете IPSec, поскольку в этом случае туннель
аутентифицируется независимо от Layer 2. И наконец, размер пакета L2TP на 2
байта меньше за счет сжатия заголовка пакета.
IPSec
IPSec это туннельный протокол Layer 3. Туннелирование в IPSec включает
шифрование IP и инкапсуляцию его в заголовок IP перед передачей по сети. Это
дает преимущества, поскольку позволяет сделать туннель как в интарсети, так и
в Интернет. Любая IP-совместимая система может поддерживать IPSec. Однако,
Microsoft поддерживает IPSec только на платформе Windows 2000. Если вам
необходимо использование IPSec с клиентом Windows 95, вам понадобится
программное обеспечение другого производителя.
Для использовния IPSec в Windows 2000 необходим компьютерный сттрификат,
инсталлируемый как на стороне сервера, так и на стороне клиента. Сертификат
может быть получен на закладке Certificates в Windows 2000 Group Policy.
Шифрование в IPSec основано либо на 56-битном алгоритме DES, либо на Triple
DES (3DES), в котором для шифрации и дешифрации используются три разных
56-битных ключа. 3DES является высокозащищенным алгоритмом и
используется в чувствительных коммуникациях.
IPSec спроектирован для сетей IP, что подразумевает возможную потерю
пакетов. Каждый пакет декодируется независимо от других пакетов. Начальные
ключи шифрования устанавливаются как часть
процесса аутентификации, а новые генерируются
каждые 5 минут или после передачи 250 мегабайт
данных (для DES) или 2 гигабайт (для 3DES).
Установка Windows 2000 Remote Access
Service
Настройка модемных соединений
Когда мы говорим о настройке модемных соединений, мы говорим о настройке
сервера. Сюда входит проектирование системы, установка и активирование. Мы
не описываем настройку модемного соединения на клиенте. Обратитесь к
соответствующей документации клиента.
Настройка сервера RAS в Windows 2000
Перед покупкой оборудования и установкой RAS-устройств, проверьте
последний список совместимости оборудования доя Windows 2000! Зачастую
оборудование не работает из-за отсутствия соответствующих драйверов.
Установка модемов
Прежде всего нажмите кнопку Start и выйдите в Панель Управления
(Settings/Control Panel). Дважды щелкните на иконку Phone and Modem Options.
Если вы делаете это в первый раз, у вас запросят информацию о коде города
или системе дозвона. После ввода этой информации Windows 2000 запустит
апплет Phone & Modems Options. Щелкните на закладку Modems, затем на кнопку
Add для запуска мастера установки. Вы можете предоставить Windows 2000
возможность самой определить тип модема, или указать его вручную из списка
поддерживаемых.
Если вы выбрали устновку модема вручную, вам будет предложено выбрать
COM-порт. Если вы указали Windows самой определить модем, она будет искать
его на всех доступных портах и выдаст список найденных модемов. Выберите
нужный модем и щелкните кнопку Next. Windows 2000 автоматически назначит
порт и установит правильный драйвер. Затем должно появиться окно, говорящее
о том, что модем успешно установлен.
<>
Установка RAS
Назначением сервера удаленного доступа является прием входящих звонков от
удаленных компьютеров, позволяя тем самым пользователям получать доступ к
внутренним сетевым ресурсам. Windows 2000 содержит встроенный PPP. Любое
устройство, которое может устанавливать PPP-соединение, может подключаться
к серверу Windows 2000. Сюда входят системы на базе Macintosh и даже UNIX.
Для того, чтобы Windows 2000 могла принимать звонки, необходимо следующее:





Естественно, Windows 2000 должна быть сконфигурирована с ПО
удаленного доступа для приема звонков.
Устройство клиента должно быть способно установить PPPсоединение.
К серверу RAS должны быть подключены соответствующие
устройства (модем, линия ISDN, T1 и т.п.)
Клиенту должен иметь модем или иное устройство, способное
устанавивать соединение с сервером.
На сервере Windows 2000 должна существовать учетная запись
пользователя, который будет устанавливать соединение.
Если эти условия выполнены, вы можете предоставлять услуги RAS своим
пользователям.
Для начала установки RAS щелкните кнопку Start и выберите Programs,
Administrative Tools, Routing and Remote Access. При этом запустится Microsoft
Management Console (MMC) и вы должны увидеть в списке слева свой сервер.
Щелкните правой кнопкой мыши на имени сервера и выберите опцию Configure
and Enable Routing and Remote Access. При этом запустится мастер установки
сервера удаленного доступа.
Первым делом надо определить, какую роль будет выполнять сервер.
Существует несколько предопределенных опций - сервер VPN, сервер RAS или
сетевой маршрутизатор. Мы выбираем сервер RAS. Щелкните на радио-кнопке
Remote Access Server и затем кнопку Next. Вас спросят, хотите ли вы
сконфигурировать сервер как основной RAS-сервер (т.е. самостоятельный
сервер с упрощенным администрированием), или как Расширенный RAS-сервер
(способный использовать политики удаленного доступа и являющийся сервером
- членом домена). Windows сообщит, что вы должны настроить входящие
сетевые соединения в папке Network and Dial-up Connections. После того, как вы
нажмете OK, Мастер завершит работу.
Если вы выбрали настройку расширенного (advanced) RAS-сервера, вас попросят
проверить установленные протоколы.
Замечание
Выбор "No, I need to add protocols" вызовет остановку мастера и процесс настройки будет
прерван. Рекомендуется, чтобы вы продолжили процесс и вернулись назад позднее для
установки дополнительных протоколов. Единственное исключение - TCP/IP. Всегда
рекомендуется установить его до начала установки RAS.
Из рисунка можно было бы подразумевать, что вы можете выбрать, какие
протоколы использовать с RAS. К сожалению, это не так. Мастер установки RAS
подразумевает, что вы будете использовать все протоколы для удаленных
соединений. Если вы хотите удалить протоколы с сервера RRAS, Вам следует
сделать это вручную, после завершения установки.
Подразумевая, что TCP/IP уже установлен, следующим шагом Мастер RRAS
решает, как вы хотите управлять назначением IP-адресов клиентам. Поскольку
каждое устройство в сети требует уникального адреса IP, у вас должен быть
метод распределения адресов. Если у вас в сети есть сервер DHCP (не
обязательно на той же машине, что и RAS), вы можете использовать службу
DHCP для автоматического назначения адресов IP. Это опция по умолчанию. Для
ее использования вам необходим активный сервер RAS, имеющий достаточное
количество адресов IP. Если по каким-то причинам вам нужно определить
диапазон этих адресов, включите радио-кнопку "From" и щелкните "Next". В
следующем окне определите диапазон IP-адресов. Иногда это требуется при
наличии скриптов или программ, зависящих от IP-адресов. Определив диапазон,
щелкните кнопку "Next".
На следующем экране вам следует определить способ аутентификации
пользователй. Здесь есть две опции: использовать сервер RADIUS ("Yes, I want
to use a RADIUS server," или без него ("No, I don't want to set up this server to use
RADIUS now.") Если вы не знаете, что такое RADIUS, это может вас смутить.
RADIUS - это сокращение от Remote Authentication Dial-In User Service (служба
аутентификации удаленных соединений), она используется для аутентификации
и регистрации удаленных соединений разного типа. RADIUS содержит
защищенную базу данных, в которой пользователи и устройства имеют разные
уровни доступа. Если у вас есть RADIUS, вы можете настроить RRAS для
аутентификации пользователей с его помощью. Настройка RADIUS выходит за
рамки этой книги, поэтому выберите "No" и щелкните "Next".
Поскольку вы не используете RADIUS, вам остается нажать кнопку "Finish" для
завершения установки RRAS. Начиная с этого места сервер готов принимать
входящие соединения, назначая им IP-адреса, проверяя их в базе данных
клиентов (Windows 2000 Active Directory или RADIUS), и позволяя им получить
доступ в сеть. Но не торопитесь: мы еще не определили, кто может использовать
удаленный доступ! Мы же не хотим разрешить кому угодно дозваниваться до
нашего сервера? Следующим шагом является предоставление пользователям
прав в дереве Active Directory. Щелкните кнопку Start выберите Programs,
Administrative Tools, Active Directory Users and Computers, найдите пользователя,
которому вы хотите дать права. Щелкните правой кнопкой мыши на
пользователе, выберите Edit, войдите свойства. Выберите закладку Dial-in в
Administrator Properties.
По умолчанию, в блоке "Remote Access Policy" включена опция Control access.
Щелкните "Allow access" для предоставления прав удаленного доступа. Здесь
также есть некоторые опции безопасности. Если модем и телефонная линия
поддерживает caller ID, вы можете включить эту опцию для проверки того, что
звонок исходит из правильного места. Еще одной опцией является
использование обратного вызова (Callback). Если она включена, сервер RAS
попробует вызвать пользователя по указанному телефонному номеру для
установления соединения. Это првязывает пользователя к конкретному
телефонному номеру. Другая опция состоит в назначении пользователю
фиксированного IP-адеса при каждой регистрации. Обычно это используется для
настройки правил фильтрации на межсетевых экранах.
Кажется, все готово. Вы установили требуемое оборудование, программное
обеспечение, настроили службу удаленного доступа и предоставили
пользователям права для удаленного соединения. Но не торопитесь. Сначала
протестируйте свой сервер, чтобы убедиться, что он предоставляет те услуги,
которые требуются. Очень часто администраторы настраивают систему, а потом
убеждаются, что она не соответствует их требованиям. Чем более тщательно
будет проведено тестирование, тем лучше все будет работать.
Использование RADIUS
RADIUS является очень мощным средством при использовании совместно с
удаленным доступом. Большинство решений VPN поддерживают RADIUS, а
учетная информация может быть получена от сервера RADIUS. И все же его
внедрение следует тщательно обдумать. RADIUS можно использовать для
защиты чего угодно - от веб-страниц до локальной сети. Существует несколько
доступных пакетов RADIUS, но все основаны на базовом протоколе. Сетевые
устройства, например, маршрутизаторы, могут передавать учетные данные как
часть RADIUS-пакета на сервер учета, который в свою очередь может
использоваться для сбора статистики.
Изменение установки RAS
После установки, вам может потребоваться вносить изменения в свойства RRAS.
Мастер RRAS, облегчающий начальную установку, делает слишком много
невидимых для вас предположений, которые вам, возможно, потребуется
изменить. Для изменения настроек запустите консоль Routing and Remote Access
MMC, щелкните правой кнопкой мыши на имени сервера, выберите Properties.
Здесь вы можете изменить настройку PPP, метод аутентификации, удалить
ненужные протоколы. Закладка General используется в основном для
переключений функций сервера RRAS как сервера удаленного доступа или
маршрутизатора. Windows 2000, имеющая несколько сетевых адаптеров, может
выполнять функции маршрутизатора между несколькими подсетями. RRAS сокращение от "Routing and Remote Access Services", поскольку Windows 2000
может выполнять функции маршрутизации. Windows 2000 включает собственное
решение RADIUS, называемое Internet Authentication Service (IAS). Этот
дополнительный компонент можно установить через Add/Remove Programs. За
более подробной информацией об IAS обратитесь к файлам помощи Windows
2000 или Server Resource Kit.
Как упоминалось ранее, можно использовать либо аутентификацию Windows
2000, либо RADIUS. Если вы хотите позднее установить у себя сервер RADIUS,
здесь вы можете включить его использование. Закладка "Accounting" позволяет
выбрать тип учета - Windows Accounting, RADIUS Accounting, или None. Система
учета, принятая по умолчанию, дает значительно меньше информации, чем
RADIUS.
Щелкнув на кнопку "Authentication Methods" вы попадете в список возможных
методов аутентификации. Обычно используют MS-CHAP или and PAP, хотя есть и
такие дополнительные методы, как EAP и даже Unauthenticated Access.
На этом рисунке показана закладка IP, где вы можете включить маршрутизацию
IP, определить метод адресации клиентов, добавить и удалить IP-адреса из
адресного пула. Здесь же вы можете указать использовать DHCP или
статический пул адресов. Чтобы клиенты могли получить доступ во внутреннюю
сеть, вы должны включить маршрутизацию IP.
Закладка PPP позволяет изменить свойства PPP-соединения. Вы можете
определить разрешение множественных соединений, использование
прграммного сжатия, расширения протокола LCP. Индивидуальные настройки
выплняются настройкой политик удаленного доступа.
Последняя закладка - это Event Logging. Здесь вы можете указать, какие
события должны регистрироваться. Если включена опция Point-to-Point Protocol
logging, события PPP-соединения записываются в файл Ppp.log, находящийся в
каталоге %systemroot%\Tracing. Для вступления изменений в силу вы должны
перезапустить сервер RRAS.
Помимо этих настроек неплохо также проверить свойства портов, настроенных
на RRAS-соединения. Мастер установки RRAS подразумевает, что все модемы
доступны для входящих соедиений. Это также открывает порты для
злоумышленников, которые попытаются "завалить" ваш сервер. Поэтому
неиспользуемые порты лучше удалить. Для использование порта для удаленного
доступа, подсветите соединение и нажмите кнопку Configure. Проверьте флажки
Remote Access Connections (Inbound Only).
Политики удаленного доступа
Это заключительная стадия настройки удаленного доступа. Политики
настраиваются в консоли RRAS.
Для создания новой политики выберите в консоли папку Remote Access Policies,
щелкните правой кнопкой мыши в правой панели и выберите New Remote Access
Policy.
Введите имя политики, а затем настройте условия. Здесь есть немного доступных
опций, начиная от caller ID и заканчивая временем регистрации и
принадлежности пользователя группе. Эти настройки будут применяться к
удаленным соедиениям.
Если ваш сервер Windows 2000 RAS работает в смешанном режиме, опция
управления удаленным доступом посредством политики недоступна. Серверы
RAS Windows NT 4.0 неспособны принимать политику удаленного доступа. По
этой причине все пользователи, требущие доступ к службе RAS, должны иметь в
своих индивидуальных свойствах право доступа "Allow", а политика удаленного
доступа, используемая по умолчанию, должна быть удалена.
Управление подключенными пользователями
Мониторинг пользовательских сеансов является бесценным инструментом для
управления удаленным доступом и устранения проблем. Windows 2000 содержит
ряд встроенных инструментов.
Первым средством является консоль Routing and Remote Access MMC. Подсветите
ветку Remote Access Clients вашего сервера RRAS и вы получите список текущих
подключенных пользователей. Есть один трюк, который вы можете использовать
для разрешения/запрещения доступа группе пользователей. Если для группы
создать политику и включить туда условие, которое никогда не выполняется, то
всей группе будет отказано в доступе. Например, включить ограничение Restrict
Dial-in to this number only (Ограничить дозвон только с указанного номера) и
указать фиктивный номер.
Еще одной полезной функцией является возможность посылки пользователям
сообщения. Это можно использовать для предупреждения их о выключении
сервера, просьбе выйти из системы и т.п. Такие сообщения будут появляться в
выскакиващем окне, аналогично команде NET SEND. Однако, пользователи не
могут сами посылать сообщения.
Другой полезной утилитой является Performance Monitor. Он может
использоваться для сбора информации о службе RAS. Его отчеты можно
просмотреть утилитой perfmon. Помните, в RRAS своя собственная система
журнализации событий. Windows 2000 также включает полезную утилиту netsh.
Введите с командной строки Netsh RAS для получения доступных команд,
которые вы можете дать серверу RAS. Netsh - это утилита запросов, которая
позволяет получить информацию о доступности служб и их текщем состоянии.
Настройка VPN
Установить программное обеспечение VPN на сервере Windows 2000 очень
просто. Фактически вы уже сделали 75% работы. При добавлении службы
удаленного доступа, Windows 2000 автоматически добавляет поддержку пяти
соединений L2TP и пяти соединений PPP. Если вы еще не включили поддержку
RAS, вам следует вернуться к разделу "Установка RAS".
В первую очередь убедитесь, что установлены порты. Это можно проверить
через консоль RRAS. Нажмите кнопку "Start", выберите Programs, Administrative
Tools, Routing and Remote Access. После появления консоли RRAS, вы должны
видето свой сервер в левой панели. Дважды щелкните на нем для вызова
подробностей. Щелкните правой кнопкой мыши на список "Ports", выберите
"Properties"
Здесь вы можете настроить порты и протоколы в соотетствии с вашими
требованиями. Удалите неиспользуемые порты. Для настройки отдельного порта
для использования с VPN, посветите его и щелкните кнопку Configure. Убедитесь,
что установлен флажок Remote Access connections (incoming calls only), и для
телефонного номера устройства укажите IP-адрес этого сервера. Клиенты будут
подключаться к этому адресу IP используя клиентское программное обеспечение
VPN.
Замечание
Публичные адреса IP используются только при соединении с сервером из-за границ
вашей сети. Обычно для этого используют технологию сетевой трансляции адресов (NAT),
чтобы ваш внутренний IP не был виден во внешнем мире.
В этом окне вы также можете указать максимальное количество портов,
доступное для этой службы. Оно основано на максимальном количестве
пользователей, поддерживаемое сервером через VPN. Рассчитывая это число,
учитывайте задержки в Интернет, другие соединения с вашим RAS-сервером, тип
соединения клиента с провайдером (модем, ISDN и т.п.). Учтите, что из-за
сложности пакета VPN, производительность может упасть на 10-50 процентов! В
основном это вызывается шифрацией/дешифрацией траффика на обоих концах.
На линиях T1 это незаметно, но для модемных пользователей падение скорости
на 50% неприемлимо. Поэтому всегда старайтесь делать так, чтобы
пользователи звонили непосредственно на сервер RAS.
PPTP
При установке RAS автоматически включаются пять портов PPTP. Они
используются для старых клиентов,которые не поддерживают L2TP. Основными
достоинствами PPTP являются его дешевизна и легкость в реализации.
IPSec
IPSec используется для повышения защищенности траффика VPN. Он использует
инфраструктуру открытого и закрытого ключей для шифрования и расшифровки
траффика, обспечивая защищенность соединения от точки до точки. Существуют
два типа тунеллирования IPSec. Первым является комбинация L2TP/IPSec, а
вторым - чистое тунеллирование IPSec. Тунеллирование IPSec не рекомендуется
для VPN, поскольку он не предусматривает некоторых основных служб,
необходимых для удаленных пользователей. IPSec включается в Windows 2000
через политики. Некоторые из них предопределены, но вы можете создавать
свои собственные политики. Для этого используйте закладку Local Computer
Policy в консоли управления. Политики по умолчанию таковы:



Secure server. Машина, выполняющая роль сервера безопасности,
всегда пытается согласовать безопасность с клиентом. Если
согласование установить невозможно, сервер прекращает отвечать
клиенту.
Client. Политика клиента заставляет машину запрашивать сервер
для установки защищенного соединения. Если сервер не имеет
политики сервера, шифрования траффика производиться не будет.
Server. Машина с политикой сервера будет пытаться установить
защищенное соединение, а если не получится, что траффик будет
нешифрованным.
IPSec имеет определенные ограничения, поэтому он всегда должен
использоваться в комбинации с L2TP. Основной недостаток IPSec состоит в том,
что он не предусматривает аутентификации пользователя. Вместо этого
аутентификация делается на базе машин. Это означает отстутствие способа
определения того, кто использует машину. Другое ограничение состоит в
отстутсвии поддержки NAT и нескольких протоколов.
L2TP
Как и в случае PPTP, при установке Windows 2000 создаются пять портов L2TP.
Windows 2000 использует L2TP вместе с IPSec для поддержки VPN, что чам по
себе IPSec не может обеспечить. Поскольку пакет L2TP включается в пакет
IPSec, это дает преимущества IPSec (защищенная связь, защита релея,
целостность данных) плюс аутентификацию пользователя, поддержку
нескольких протоколов, назначение адресов.
Управление L2TP производится также в консоли RAS MMC. Не забудьте
установить правильное количество портов L2TP. L2TP превосходит традиционный
PPTP, поскольку поддерживает несколько туннелей между конечными точками и
может работать в любой пакетно-ориентированной сети. Кроме того,
аутентификация туннеля, поддерживаемая IPSec, обеспечивает более высокий
уровень защиты, чем PPTP.
Конечно, в L2TP/IPSec есть и недостатки. Как уже указывалось, IPSec не
поддерживает NAT. Кроме того, старые клиенты не поддерживают L2TP. Это
означает, что многие клиенты будут вместо него использовать PPTP. И наконец,
L2TP по IPSec является тем решением, которое Microsoft настоятельно советует
использовать в Windows 2000.
Советы по обновлению RAS
Windows 2000 существенно превосходит предыдущие попытки Microsoft создать
службу удаленного доступа. С ростом числа удаленных пользователей сами
системы RAS становятся все более устойчивыми. Одной из потенциальных
дилемм, с которой вы можете столкнуться, является обновление существуюшей
службы удаленного доступа или установка чистой Windows 2000. Всегда лучше
ставить систему на "чистую" машину; хотя Microsoft улучшила процесс
обновления, он все еще далек от совершенства.
От Microsoft есть мало информации о том, как обновить службу удаленного
доступа. Однако, это может быть важным для вас, если вы обновляете одну из
предыдущих версий Windows.
Основное пожелание связано с вашим оборудованием удаленного доступа. Оно
должно быть совместимо с Windows 2000. Для старых конфигураций это не
проблема, Microsoft включила сотни драйверов в инсталляцию Windows 2000.
Однако, некоторые призводители могут поставлять драйверы, несовместимые с
Windows 2000. Обязательно посетите веб-сайт производителя чтобы убедиться,
что вы имеете самые последние драйверы для любого оборудования, которое
устанавливается на сервере RAS.
Служба RAS в NT 4.0 очень сходна с такой же службой в NT 3.51. Обе они
основаны на базе удаленного доступа к сети (dial-up networking) от клиента к
серверу. Пользователям разрешается использование RAS кнопкой "Dial in" в
свойствах индивидуального пользователя в "User Manager for Domains". При
обновлении до Windows 2000 server, вся эта информация теоретически
перемещается в Active Directory. Пользователи, сконфигурированые на
использование RAS в NT 4.0, будут аналогично сконфигурированными для
Windows 2000.
В реальности процесс обновления не такой простой. Многие администраторы
рекомендуют удалить Службу удаленного доступа в NT 4.0 перед обновлением.
Позже, когда сервер Windows 2000 настроен и работает, переконфигурируйте
RAS. Это потребует больше усилий, но избавит вас от головной боли в
дальнейшем.
Обновление Windows NT 3.5x RAS
Windows NT 3.51, как и NT 4.0, можно непосредственно обновить до Windows
2000. Как и в NT 4.0, информация о пользователях теоретически также должна
мигрировать. Мы оставляем вам верить или не верить Мастеру обновления.
Слишком часто у него не получается. Как и в случае с NT 4.0 рекомендуется
сначала деинсталлировать RAS, а потом сделать обновление. В противном
случае вы можете повредить Active Directory.
Замечание
Хотя Citrix WinFrame основан на технологии NT 3.51, вы не можете напрямую обновить
его до Windows 2000. Вам потребуется чистая установка Windows 2000. Хотя,
теоретически, вы можете обновить его до NT 4.0 Terminal Server Edition перед
обновлением до Windows 2000. Шансы 50/50.
Глава 3: Проектирование Terminal Services for Windows
2000
Введение
Во внедрении технологии тонкого клиента критическим моментом является
проектирование и расположение терминальных серверов Windows 2000. Неверно
спроектированные сервера могут свести на нет все ваши старания и увеличить
расходы на устаренение проблем. Первым шагом является определение
требований к оборудованию.
Отправной точкой может стать двухпроцессорная система на базе Pentium
450Мгц с 128 MB - этого достаточно для самой Windows 2000. Отсюда вы
начинаете расширение системы, добавляя ресурсы в зависимости от числа
пользователей и приложений. Большой сервер должен иметь четыре процессора
600Мгц и 512Мб RAM. Большие серверы идеальны для запуска ресурсоемких
приложений. Если вы планируете использовать более 4-х процессоров, вам стоит
подумать о приобретении Windows 2000 Datacenter Server. Обычный Server и
Advanced Server поддерживают до 8 процессоров, а Datacenter - до 32.
На терминальных серверах Windows 2000 должны работать только
пользовательские программы. Они не должны выполнять такие функции, как
сервер печати, firewall, SQL-сервер и пр.
Итак, начинаем масштабирование. Добавьте по 20 Мб RAM на каждого
пользователя на каждом сервере. Например, если вы планируете терминальный
сервер на 50 пользователей, умножте 20 на 50. Вы получите 1000Мб, или
приблизительно 1Гб. Возьмите базовые 128Мб и добавьте к ним 1Гб. Мы не
учитываем память, требуемую для некоторых приложений, интенсивно ее
использующих. Citrix рекомендует 4 Мб на каждого пользователя.
Ваша цель - обеспечить, чтобы объем памяти не стал узким местом в работе
терминального сервера. Некоторые клиенты будут использовать менее 20Мб
RAM, а другие - больше. Если каким-то приложениям требуется болше памяти,
вы сможете предоставить пользователю больше памяти.
Следующий шаг - выявление
требований к процессору и к объему
памяти со стороны приложений. Учтите,
что требования пилотной программы
могут не отражать реальные
потребности.
Соберите пользователей в тестовую
группу так, чтобы она содержала
средний процент нормальных и
продвинутых пользователей, которые
запускают несколько приложений в
многозадачной среде.







Установите тестовый
сервер
Установите программы, которые должны быть доступны на
терминальном сервере.
Начните с 15 пользователей и используйте для сбора информации
Performace Monitor. Настойте его на 15-секундный интервал. Вы
должны следить за использованием процессора, памяти и файла
подкачки.
Продолжайте добавлять по 10 пользователей, пока процент
использования CPU не достигнет 70-80%.
Если необходимо, добавьте оперативной памяти, пока не
достигнете плато использования CPU. Вы увидите, когда вам надо
добавить памяти - когда увеличится использование файла
подкачки и система замедлит свою работу.
Достигнув 70-80 процентного использования CPU, подсчитайте
число одновременно работающих пользователей. Это то число,
которое может поддерживать один сервер. Вы также можете
добавить еще один процессор, если система это позволяет; тогда
продолжайте тестирование, пока процент использования
процессора снова не достигнет 70-80%.
Теперь вы можете определить, сколько серверов вам потребуется
для поддержки всех пользователей. Например, если вы выяснили,
что один сервер может поддерживать 50 пользователей не
превышая 80%-ную загрузку CPU в течении достаточно
продолжительного времени (более 15 секунд), а в вашей компании
2500 пользователей, то вам потребуется 50 серверов.
Определив число серверов, вы можете также определить число
многопроцессорных серверов, чтобы уменьшить общее количество
оборудования. Убедитесь, что вы выбираете серверы с RAID-массивами,
источниками бесперебойного питания, с памятью с коррекцией ошибок.
Microsoft рекомендует размещать операционную систему и приложения на
разных физических дисках на разны каналах. Вам следует использовать RAIDмассивы независимых дисков. Если производительности RAID станет
недостаточной, используйте Fiber Channel.
Совет
Существует множество программ для стрессового тестирования серверов. Одной из них
является WinBatch. Она идеальна тем, что почти не потребляет для себя системных
ресурсов, и позволяет осуществить чистое тестирование.
Сетевые интерфейсы
Тип сетевого адаптера в большей степени зависит от числа пользователей и типа
приложений. В любом случае рекомендуется подключать сетевой адаптер прямо
в маршрутизатор. Большинство продуктов Cisco используют маршрутизацию "на
лету" без фрагментирования пакетов. Другие маршрутизаторы могут
буферизовать пакеты, вызывая задержки.
Протокол клиента Terminal Services может работать на очень медленных линиях,
например, 28.8Kбит/с, но тем не менее пропускная полоса канала может стать
узким местом, особенно если клиенты часто передают файлы. Печать больших
файлов также сильно загружает сеть. Согласно рекомендациям Microsoft, RDP
для эффективного функционирования требует 30 KB полосы пропускания.
Умножим это на число пользователей. Напрмер, если у нас 200 пользователей,
то получим цифру 12Мб. Это уже превышает возможности сетей на базе 10baseT.
В этом случае необходима смена инфораструктуры. Если у вас есть 50
пользователей с 10-Мб сетевыми картами, а комбинированная сетевая карта
10/100 сервера подключена к концентратору, у вас будут большие задержки.
Для решения этой пробемы либо используйте коммутаторы, либо разбейте сеть
на несколько сегментов.
Кластеры
Терминальный сервер не подходит для кластеризации. Наилучшее решение для
распределения нагрузки реализовано в Citrix Load Balancing для MetaFrame (см.
главу 4).
Если вы не можете использовать CLB, то Microsoft имеет продукт под названием
Network Load Balancing, основанный на IP. Он доступен только в Windows 2000
Advanced Server и Datacenter Server.
Модемы
Если вы планируете использовать модемы, непосредственно подключенные к
терминальному серверу, выбирайте модели, не зависящие от центрального
процессора. Модемы типа 'winmodems' не подходят для ваших нужд.
Обучение
IT-менеджеры должны учитывать расходы на обучение пользователей работе с
Terminal Services. Клиенты могут использовать у себя разные операционные
системы - Windows 2000, Windows 9x или Windows NT 4.0. Для пользователей
Windows 2000 процесс обучения обычно протекает гладко, но не думайте, что
оно им не понадобится вообще.
Размещение терминальных серверов в сети
При размещении вы должны учитывать наличие межсетевых экранов, каналов
передачи данных.
Рекомендуется размещать серверы в вашей локальной сети или в приватной
части межсетевой системы. Если вы хотите открыть доступ через межсетевой
экран, то должны открыть порт 3389.
Межсетевые экраны бывают двух типов: основанные на фильтрации
приложений, и основанные на фильтрации сетевых пакетов. Фильтры
приложений могут не иметь фильтров для протокола RDP. Пакетные фильтры
позволяют создавать правила на основе протокола и номера порта. Поэтому вы
сразу можете настроить фильтры на протокол RDP.
Для эффективной защиты терминального сервера вы должны правильно
настроить демилитаризованную зону (DMZ):



Траффик из Интернет в DMZ разрешается только через порт 3389.
Траффик из DMZ в Интернет разрешается через порт 3389 и через
другие необходимые порты, например, 80.
Траффик из DMZ во внутреннюю сеть должен быть ограничен
портом 3389, а также, возможно, портами доменной
аутентификации и портами поддержки специфических функций,
например, WINS. Эти правила должны быть двунаправленными.
Это минимальная настройка безопасность для DMZ и не учитывает всех
конкретных особенностей.
Проблемы с пропускной способностью могут быть решены тремя способами.
Самый простой из них - это модернизация сетевых адаптеров и разбиение сети
на сегменты с использованием маршрутизаторов.
Многие из современных коммутаторов поддерживают Gigabit Ethernet. Хотя
вряд ли вы подведете Gigabit Ethernet к вашим серверам, будет неплохо
реализовать его хотя бы между коммутаторами.
Отсутствие домена. В этой схеме пользователи создаются и поддерживаются
локально на каждом терминальном сервере, хотя это увеличивает работу по
администрированию. Отстутствие отказоустойчивости и резервирования
ограничивает масштабируемость такой схемы. Балансирование нагрузки также
сложно реализовать.
Добавление терминальных серверов Windows 2000 в существующий
домен Windows NT 4.0. В этой модели вы можете получить преимущества от
использования некоторых функций Windows 2000 Terminal Server. Однако
учтите, что вы ограничены моделью домена NT 4.0 и его SAM. При наличии
нескольких доменов, размещайте терминальные серверы в одном домене с
пользователями.
Добавление терминальных серверов Windows 2000 в существующий
Active Directory
Тут вы получаете все преимущества Active Directory. Вы можете хранить
информацию о сотнях пользователей, групповых политиках, и кучу другой
полезной информации. Это самая богатая возможностями модель для
терминальных серверов Windows 2000. Если у вас уже есть NT 4.0, то начните с
доменной структуры NT 4.0 и постепенно преобразуйте ее в модель Windows
2000 Active Directory. При использовании Active Directory рекомендуется
разместить все терминальные серверы в отдельной организационной единице
(OU), поскольку вам придется управлять ими отдельно от остальных серверов и
рабочих станций.
Добавление Windows 2000 Terminal Services в другие окружения
Это может быть сложным процессом. В окружении Novell Netware информация
пользователей может быть перенесена в Active Directory с помощтю утилиты
миграции от Microsoft. В других окружениях может потребоваться много ручной
работы по вводу информации о пользователях. Microsoft предлагает утилиту
adduser.exe, которая может быть полезна в этой ситуации.
Реализация потоколов Terminal Services
Windows 2000 Terminal Server использует фирменный протокол RDP. RDP может
использоваться над любым транспортным протоколом, но в настоящее время
поддерживает только TCP/IP. В соответствии с политикой Microsoft, если
пользователи начнут массированно требовать поддержку других протоколов, они
будут поддерживаться в будущих версиях. RDP использует до 64000 логических
виртуальных каналов, встроенных в него. Разные каналы отвечают за разные
функции ввода/вывода - мышь, клавиатуру, видео и пр. RDP передает по
каналам нажатия калвиш, перемещения мыши и отображаемые данные в
зашифрованном формате. На стороне сервера RDP использует собственный
драйвер для обработки информации, полученной от клиента, и формирования
пакета, посылаемого клиенту. Сервер использует виртуальную клавиатуру и
мышь для интерпретации команд клиента. Клиент получает информацию об
отображении, а RDP передает ее в API Win32 GDI.
Все версии RDP имеют функции шифрования. Однако, в Windows 2000 вы
можете выбирать только между 56- или 128-битным шифрованием. Шифрование
необходимо для защищенного окружения. RDP для шифрования использует
алгоритм RSA RC4.
RDP 5.0 требует меньшей полосы пропускания, чем его предшественник RDP 4.0.
Для этого RDP 5.0 использует множество способов: лучшее сжатие, кеширование
пиктограмм и шрифтов. Алгоритмы автоматически оптимизируются для
низкоскоростных соединений без вмешательства приложения.
Переход с RDP 4.0 на RDP 5.0
RDP 5.0 имеет обратную совместимость с Windows NT 4.0 TSE, а Windows 2000
Terminal Services обратно совместимы с RDP 4.0. Поэтому вы можете постепенно
модернизировать вашу сеть. Windows 2000 поставляется с клиентом RDP 5.0.
Утилита Client Creator в папке Administrative Tools служит для создание дисков
клиента. RDP 5.0 поддерживается только Windows 3.11b, Windows 9x, Windows
NT и Windows 2000. Вы можете инсталлировать клиента по сети;
инсталляционные диски находятся в каталоге
%systemroot%\system32\clients\tsclients\net. Вы можете сделать эту папку
доступной для совместного использования. При обновлении клиентов их текущая
настройка не затрагивается. Если вы хотите предоставить клиенту уже готовую
конфигурацию, то можете сделать это несколькими способами. Первый (и
предпочтительный) не нуждается во вмешательстве пользователя. Перед
передачей клиента пользователю создайте соединение, которое будет
использовать пользователь. После этого экспортируйте ему файлы .CNS. Вы
можете либо поместить их на первый инсталляционный диск, либо в общую
папку, созданную ранее. При установке инсталлятор проверяет наличие файлов
.CNS. Если они существуют, они используются для создания настроек
соединения. Второй метод состоит в передаче пользователю файлов .CNS с тем,
чтобы он их импортировал вручную, используя опцию командной строки клиента
`-import' или пункт меню "Импорт".
Анализ среды
Перед установкой и тестированием системы вы должны проверить вашу среду.
Вы должны хорошо представлять свою сеть и ее траффик. Вы должны знать,
какие еще серверы присутствуют в сети, какие клиенты поддерживаются и каких
вы собираетесь поддерживать. Вы также должны понимать, какое воздействие
терминальные службы окажут на вашу сеть. Приложения на терминальных
серверах могут влиять на производительность сети.
Знание типов клиентов поможет вам определить возможные проблемы при
переходе на терминальные серверы Windows 2000. Например, если у вас есть
пользователи DOS и Macintosh, использующие ICA-клиентов и Citrix MetaFrame,
то помимо перехода на терминальный сервер Windows 2000 вам необходимо
модернизировать также MetaFrame. Windows 2000 Terminal Services не
поддерживают клиентов DOS или Macintosh, поэтому вам необходима новая
версия MetaFrame, в противном случае вы не сможете поддерживать этих
клиентов.
Вы можете прдсказать качество функционирования Windows 2000 Terminal
Services на этапе тестирования. Используйте Network Monitor для получения
сетевой статистики.
Некоторые приложения, типа Internet Explorer или Netscape, будут создавать
траффик иного рода. Вы должны знать, какие приложения будут иметь доступ в
Интернет и попытаться предсказать их потребность в пропускной способности.
Часто для интернет-браузеров это невозможно сделать.
Приложения сторонних производителей предъявляют совершенно иные
требования к пропускной способности. Если терминальный сервер нуждается в
соединении с другим сервером, например, SQL, то лучше всего создать новый
сегмент VLAN с новым сетевым адаптером и подключаться к SQL-серверу
напрямую через коммутатор. Пакеты, передаваемые между SQL-сервером и
терминальным сервером, не влияют на полосу пропускания канала до клиентов.
Виртуальные сети (802.1q) поволяют маршрутизировать различные логические
сегменты сети на основании тегов, добавляемых к передаваемым по сети
пакетам.
Требования к сети
Вы можете оказаться в ситуации, когда сетевой инфраструктуры вообще не
существует. Вам нужно решить много вопросов при проектировании новой
инфораструктуры. Мы уже обсудили проблемы полосы пропускания и
интеграции внешних приложений, и все же вернемся к важнейшим концепциям.
Пусть вашей целью является:




Предоставление
локальной сети
Предоставление
серверы
Предоставление
серверы
Предоставление
необходимой полосы пропускания клиентам
клиентам доступа в Интернет через терминальные
доступа к SQL-серверу через терминальные
доступа к фаловым серверам и серверам печати
Допустим, что вы одновременно поддерживаете 5000 пользователей в локальной
сети с периодическим выходом в Интернет.
LAN
Допустим, все необходимые сервисы находятся в локальной сети. Во-первых,
вам надо предоставить необходимую полосу пропускания, 30К на каждого
пользователя. Для 5000 пользователей это составит 150Мбайт. Теперь давайте
проектировать сеть. Сначала вм надо подключить к сети клиентов. Для такой
большой сети вам потребуется 107 48-портовых концентраторов. Даже если все
47 компьютеров передают пакеты RDP, только это займет 1,4 Мб полосы.
Использование вместо концентраторов коммутаторов позволит обрабатывать еще
больший объем данных. Многие поставщики предлагают большие
маршрутизаторы с большим количеством портов. В нашем примере подойдет
120-портовый коммутатор с портами 10/100 Мбит, чтобы вы смогли подключить
к нему 107 концентраторов и оставить еще 14 портов для терминальных
серверов и интернет. Возможно, при тестировании вы обнаружите, вам
потребуется больше терминальных серверов.
Я рекомендую модульные коммутаторы со сменными шасси, на которых
монтируются сосбтвенно интерфейсы. Допустим, вы определили, что для сети
требуется 13 терминальных серверов. 100Мб сетевые карты на серверах связаны
непосредственно с коммутатором.
Теперь подключим терминальные серверы к файл- и принт-серверам. Для этого
мы добавим в коммутатор гигабайтный модуль для свяжем его с другим,
меньшим коммутатором. Для доступа к SQL-серверу, в каждый из терминальных
серверов мы вставим по еще одной сетевой карте и соединим их с другим
коммутатором.
WAN
При подключении к терминальным серверам через глобальную сеть учитывайте
вышеприведенные рекомендации. Для хорошего соединения вам необходимо
30Кбит/с для каждого пользователя. Если клиенты используют внешние
приложения, например, SQL-сервер, разместите терминальный сервер рядом с
сервером приложения.
Интернет
Пользователи могут выходить в Интернет, либо вы можете предоставлять доступ
к своим терминальным серверам из Интернет. В любом случае вы должны
защитить внутренню сеть межсетевыми экранами (firewalls). Для веб-серфинга
вам надо открыть порт 80. Для SSL-шифрованного траффика откройте порт 443.
Для траффика RDP к вашим терминальным серверам откройте порт 3389. Для
увеличения защиты вы можете создать демилитаризованную зону (DMZ).
Пожелания при переходе с Windows NT 4.0 Terminal Services
Прежде всего, задайте себе следующие вопросы:









Какую операционную систему я использую в настоящее время?
Как я планирую переход на Windows 2000: модернизацией или
чистой установкой?
Как модернизировать текущую ОС?
Переживут ли мои серверы прямую модернизацию? Если нет, то что
я должен сделать после чистой установки?
Будут ли мои приложения работать в 2000?
Какие приложения следует модернизировать?
Какие приложения не нуждаются в модернизации?
Сколько купить клиентских лицензий (CAL)?
Что измениться в приложениях после модернизации?
В наилучшем варианте вы делаете чистую установку Windows 2000 Terminal
Services. Обновление текущей операционной системы связана с множеством
проблем. Например, Windows 2000 хранит свои системные файлы в каталоге
\WINNT, а пользовательскую информацию - в каалоге \Documents and Settings.
NT 4.0 TSE использует другие каталоги - \WTSRV и \WTSRV\PROFILES. У вас могут
возникнуть проблемы вследствие изменения структуры каталогов. Вы можете
избежать этого, установив Windows 2000 на отдельный сервер.
Чистая установка позволит вам тщательно протестировать приложения. В то же
время, она требует наличия правильной среды. Профили пользователей должны
быть перемещаемыми, а документы должны храниться в сети, например, на
центральном файл-сервере в домашних каталогах.
Проверьте совместимость приложений с Windows 2000. Если приложение не
совместимо с Windows 2000, вам следует его обновить до подходящей версии.
Большинство программ совместимых с Windows 2000, совместимы и с Terminal
Services. Вы можете найти скрипты своместимости в каталоге
%systemroot%\Application Compatibility Scripts\Install, а также на вебсайте Windows Update.
Если же вы выбрали обновление текущей версии, следуйте следующим
рекомендациям.
Любая версия WinFrame
. При обновлении Citrix WinFrame сначала обновите Windows NT 4.0 Terminal
Server Edition. Затем вы можете обновить до Windows 2000 Terminal Services.
Windows NT 4.0 Terminal Server Edition
При запуске установки Windows 2000, она узнает установленную Windows NT 4.0
TSE и автоматически включает Terminal Services в режим приложения. Перед
обновлением до Windows 2000 должен быть установлен Service Pack 4
MetaFrame 1.0 или 1.8
Обновление MetaFrame 1.x сходно с обновлением NT 4.0 TSE. Однако,
необходимы дополнительные шаги. MetaFrame 1.0 и 1.8 не поддерживаются в
Windows 2000. Citrix выпусила версию MetaFrame 1.8, которая работает в
Windows 2000 (мы будем ссылаться на нее как MetaFrame 1.8a). Есть несколько
способов решения этой проблемы. Вы можете деинсталлировать MetaFrame
перед установкой Windows 2000, а потом установить MetaFrame 1.8a, либо
просто обновить до Windows 2000 без деинсталляции MetaFrame 1.x, а потом
установить MetaFrame 1.8a. До тех пор, пока вы не обновите до MetaFrame 1.8a,
ICA и Metaframe работать не будут. Как и в случае Windows NT 4.0 TSE, вам
необходим установленный Service Pack 4.
Вот пример обновления сервера MetaFrame:
1. Зарегистрируйтесь с системной консоли под администратором.
2. Запретите регистрацию на сервере командой logon /disable.
Подождите, пока все пользователи не выйдут из систем; при
необходимости закройте отключенные сеансы.
3. Убедитесь, что установлен Service Pack 4. Если нет, установите его
или более высокую версию.
4. Деинсталлируйте MetaFrame через Add/Remove Programs в Control
Panel. Если ваши диски переназначены при установке MetaFrame,
я рекомендую вместо деинсталляции выбрать обновление до
MetaFrame 1.8a.
5. Вставьте Windows 2000 CD-ROM и на вопрос обновления текущей
версии Windows ответьте "Да".
6. Вы должны принять условия лицензионного соглашения.
7. Вас проинформируют о потенциальнх проблемах обновления. Вы
должны следовать рекомендациям системы.
8. Система скопирует файлы и перезагрузится. После этого начнется
запуск в текстовом режиме, и по завершении этой части снова
перезагрузка.
9. После перезагрузки сервер входит в графический режим. Terminal
Services уже включены в режиме приложения. По завершении
этого этапа сервер перезагрузится в последний раз.
10.Вы можете установить MetaFrame.
Windows NT 4.0
При обновлении стандартного сервера Windows NT 4.0, вы должны вручную
выбрать установку Terminal Services и выбрать режим приложения.
Часто задаваемые вопросы
Q: Можно ли дать пользователям доступ только к одному приложению, когда они
подключаются к терминальному серверу?
A: Короткий ответ - да. Реализация этого несколько сложнее. Вы можете
настроить терминальный сервер для запуска определенного приложения после
регистрации, но клиенты могут изменить эту установку. Однако, вы можете
заставить запускаться приложение при каждой регистрации пользователя,
указав его в свойствах пользователя в Active Directory Users and Computers.
Здесь есть один недостаток: вы можете определить только одно приложение, и
пользователь не имеет доступа к своему рабочему столу.
Глава 4: Проектирование сети для Citrix MetaFrame
Введение
Citrix MetaFrame не идентичен Windows 2000 Terminal Services. Это набор
приложений, утилит и фирменного протокола, которе установливаются поверх
сервера Windows 2000, на котором уже установлены терминальные службы.
Хотя проектирование Citrix MetaFrame предъявляет в многом те же требования,
что и Windows 2000 Terminal Services, имеются ряд различий. Эти различия
основаны на протоколах и клиентских операционных системах.
Большинство технологических проектов создаются под одному принципу.
Сначала Вы создаете предложение - как вы видите систему в работе. Это
видение приводит к поиску методов удовлетворения требований с заменой
технологии. Это ведет к стадии проектирования, сопровождения, проверки.
Потом наступает пилотная стадия и, наконец, полное промышленное
развертывание процесса или технологии. В будущем, возможно, появятся другие
требования, и этот процесс начинается снова и снова.
Определение мощности сервера
Первый шаг вашего проекта состоит в определении мощности серверов
MetaFrame. Этот процесс называется планированием мощности. Много проектов
Citrix MetaFrame начинаются с единственного сервера. Далее, по мере роста
числа пользователей, администратору приходится приобретать большее
количество лицензий и модернизировать существующий сервер или добавлять
большее количество серверов. Учитывая будущий рост, начните с более мощного
сервера, чем вам сейчас необходимо, даже если Вы начинаете с единственного
сервера.
Мощность сервера зависит от нескольких факторов:
1. От числа одновременно работающих в нем пользователей
2. От типа приложений.
Эти два фактора будут использоваться для определения необходимых
компонентов сервера - памяти, процессоров, устройств хранения. Для
определения числа одновременных пользователей Вы сначала должны выяснить,
сколько из них вообще будут требовать доступа к серверу.
Учет роста
Ожидайте удвоение мощности сервера. Рост и изменение использования сервера
MetaFrame может случится в любое время. Вот типичная ситуация:
1. Одно из подразделений компании нуждается в сервере для
удаленного доступа к некоторому приложению.
2. Они начали его испольовать и задумали установить еще один
сервер MetaFrame для другого приложения.
3. Другое подразделение узнает о существовании сервера MetaFrame
и тоже решает использовать его для своего приложения.
4. Вскоре стало нехватать лицензий или дисковой памятиЮ или
процессора, поэтому вы добавили еще один сервер.
5. Вскоре вы получили несколько серверов с разными приложениями.
6. Потом кто-то решил объединить серверы в Server Farm.
7. Затем еще кто-то обнаружил, что можно спользовать серверы для
предоставления доступа к приложениям через Интернет. Это
привело к созданию DMZ для обслуживания пользователей Web.
8. Наконец, они установили VideoFrame для лучшей интеграции видео
с Web.
RAM
Windows 2000 Server использует 32-битное адресное пространство. Это
означает, что операционная система может адресовать 2 32 байтов памяти. Это
эквивалентно 4 гигабайтам RAM. Эти 4 Гб делятся так, что одна половина (2Гб)
предоставляются процессам пользователя, о вторая половина - ядру,
обрабатывающему системные данные. Если вы обнаружили, что достигли
предела RAM, используемого ядром, вам следует добавить больше серверов, а не
наращивать память.
Если вам требуется больше памяти, у вас есть два выбора. Windows 2000
Advanced Server поддерживает до 8Гб RAM на серверах, поддерживающих
технологию Intel Physical Address Extensions (PAE). Windows 2000 DataCenter
Server поддерживает до 64GB RAM, однако, эти серверы поставляются только
как OEM, вы не можете купить их отдельно.
Интересны процессы пользователей. При регистрации пользователя на сервере
Citrix MetaFrame и запуске приложения, ситема позволяет ему использовать всю
свободную память. Когда подключается второй пользователь, он отбирает у
первого часть RAM, и ее становится доступной меньше для каждого из
пользователей. При входе других пользователей доступная RAM распределяется
между сеансами.
Минимальные требования для Windows 2000 Terminal Services, запускающим у
себя Citrix MetaFrame, составляют 64MB, хотя рекомендуется минимум 128MB.
Эти 128MB рекомендуются только для операционной системы. Этого достаточно
для запуска сервера и регистрации в нем без появления "синего экрана смерти".
Однако, для нормального запуска Terminal Services для нескольких
пользователей вам следует добавить больше памяти.
Вы должны определить, какие типы пользователей будут в системе.


Конторские пользователи (клерки). Обычно они запускают одно
или небольшое число приложений или запускают набор основных
задач. Обычно используют обработку текста, электронную почту,
веб и электронные таблицы.
Активные пользователи. Обычно используют "тяжелые
приложения", связанные с обработкой графики и математических
уравнений; одновременно запускают несколько приложений. В
терминах Microsoft их называют "Power Users".
Клерки обычно потребляют в среднем 4 Мб RAM. Активные пользователи
поребляют в среднем 8Мб и выше, в зависимости от приложений. Вы можете на
тестовой системе запустить скрипты, чтобы определить потребление памяти
такими приложениями, а также эмулировать работу нескольких ползователей. Во
время выполнения теста запустите Performance Monitor и смотрите, сколько
памяти необходимо активному пользователю или просто можете принять цифру
20Мб.
Вы должны определить количество пользователей каждого типа, одновременно
эксплуатирующих вашу систему. Если у вас есть 200 пользователей, но из них
только 40 будут одновременно работать на Терминальном Сервере, вы должны
определить количество памяти исходя из 40 одновременно работающих
пользователей. Допустим, у вас есть 80 активных и 120 конторских служащих,
что в сумме составляет 200. В среднем это означает 16 активных и 24
конторских из тех, кто будет работать одновременно. Тогда воспользуйтесь
следующей формулой для определения общего объема RAM:
Нижний лимит памяти = ((Число активных пользователей) * (RAM для
активных))+ ((Число клерков) * (RAM для клерков)) + (RAM для операционной
системы)
Итак, принимая во внимание 16 активных пользователей, требующих по 20 Мб
RAM, 24 клерка, требующих по 4Мб, и 128 Мб для ОС, получаем цифру 544Мб.
При такой конфигурации мы получим машину с весьма посредственной
производтельностью. Допустим, все клерки вышли из системы, а их место заняли
активные пользователи. Тогда вам следует определить верхний лимит RAM:
Верхний лимит = ((Число одновременных пользователей) * (RAM для
активных))+ (RAM для ОС)
В нашем примере это составит 800Мб + 128Мб RAM = 928Мб RAM. Округлите это
число до ближайшего большего, которое может принять ваша система, в нашем
случае это 1Гб. Это минимальный объем памяти, который вы должны установить
на сервер. У вас никогда не может быть слишком много RAM, поэтому добавьте
ее настолько, насколько позволяет ваш бюджет. Кроме того, обязательно учтите
возможный рост числа одновременных пользователей.
Процессоры
Версия Windows 2000 Server опрделяет максимальное число процессоров.
Windows 2000 Server поддерживает до 4-х процессоров, использующих SMP.
Windows 2000 Advanced Server поддерживает до 8 SMP-процессоров. Windows
2000 DataCenter Server (только OEM) поддерживает до 32 процессоров.
Для определения требований к процессорам вам следует проанализировать
потребление ресурсов типичным пользователем. Используя Performance Monitor,
определите характеристики использования Процессора, Памяти, Файла
подкачки, диска, сетевого интерфейса. Минимальное число процессоров зависит
от числа одновременно работающих пользователей и типа приложений. Если у
вас простое приложение, требующее только ввод данных (для конторскиъх
пользователей), то вам может быть достаточно одного процессора на 50
пользователей. С другой стороны, если вы запускаете приложения Office, один
процессор может "потянуть" не более 20 пользователей. Для ресурсоемких
приложений это число может быть ограничено 10.
Тип процессора также влияет на количество польователей, которое он может
поддерживать. Например, Pentium II 450MHz не будет поддерживать столько же
пользователей, сколько Pentium III 933MHz. Рассчитывайте 5-10%-ый прирост
пользователей при увеличении мощности процессора. Например, Pentium II
450MHz может поддерживать 25 пользователей, а Pentium III 933MHz - 28.
Теперь определим, что нам потребуется для предоставления доступа 400
пользователям, из которых 250 будут работать одновременно. Пусть из этого
числа 300 будут клерки (75%), 75 обычных активных пользователей (19%), и 25
- очень активные пользователи (6%). У вас есть тестовая система и вы
выяснили, что можете поддерживать на одном процессоре 23 клерка, 6 активных
и одного очень активного пользователя (итого 30). Для 250 пользователей
разделите общее число одновременных пользователей на число пользователей,
поддерживаемое одним процессором. В нашем примере 250/30 = 8.33 = 9.
Для определения максимального числа процессоров, вам необходимо выяснить,
сколько процессоров потребуется для поддержки только активных
пользователей. Например, если вы выяснили, что один процессор может
поддерживать только 10 очень активных, 20 активных пользователей и 55
клерков, то воспользуйтесь следующей формулой:
((Общее # очень активных)
((Общее число активных)
(Общее число пользователей - #
активных - # очень активных)
---------------------------- + ----------------------- + ---------------------------------------------------------
(# очень активных на 1 CPU))
(# активных 1 CPU))
(Число клерков 1 CPU)
В нашем примере (25/10) + (75/20) + (250-25-75)/55 = 8.97 = 9.
Как видно, нам все равно нужно 9 процессоров. Теперь вам следует принять
решение - как установить эти девять процессоров.
1. Вы можете купить один сервер DataCenter c 16 процессорами. Это
также даст запас для дальнейшего роста, но не предусматривает
никакого решения в случае поломки сервера.
2. Вы можете купить два сервера Advanced Server с 8 процессорами
каждый. Это также дает запас для дальнейшего роста, а также
повышает отказоустойчивость (в нашем случае это особенно
хорошо, т.к. каждый сервер почти способен поддерживать 250
пользователей).
3. Вы можете купить один Advanced Server с 8 процессорами и
несколько серверов Windows 2000 Server с количеством
процессоров от 1 до 4. Это обеспечивает небольшой запас для
роста, и небольшую отказоустойчивость (если Advanced Server
сломается, обычные серверы Windows 2000 не смогут обеспечить
достаточной мощности. Но если сломается Windows 2000 Server, то
Advanced Server сможет обеспечить достаточную мощность).
4. Вы можете купить четыре четырехпроцессорных сервера Windows
2000. Это дает некоторый запас для роста и хорошую
отказоустойчивость.
Накопители
Накопители на сервере Citrix MetaFrame включают в себя жесткие диски, гибкие
диски, драйвы CD-ROM, ленточные накопители. В некоторых случаях серверу
Citrix MetaFrame может требоваться доступ к сети хранения данных (SAN). В
большинстве случаев вы приобретаете сервер в комплекте с приводом для
магнитных дисков и CD-ROM.
Файловая система
Windows 2000 поддерживает:



FAT (File Allocation Table)
FAT32 (32-bit File Allocation Table)
NTFS (NT File System)
Система FAT доступна на многих ОС DOS, Windows 3.x, Windows 9x, Windows NT,
и OS/2. FAT имеет ограничение на размер раздела 2GB.
FAT32 включена в новые системы Windows 9x. Она недоступна из Windows NT,
но поддерживается в Windows 2000. FAT32 поддерживает разделы более 2GB.
NTFS является родной файловой системой в Windows 2000. Она также
поддерживает разделы более 2GB. Кроме того, NTFS включает особенности,
отсутствующие в FAT и FAT32:



Отказоустойчивость
Оптимизация использования дискового пространства
Улучшенная безопасность
В системах Windows NT многие инсталлируют FAT потому, что в случае сбоя нет
другого способа получить доступ к жесткому диску, если он был отформатирован
с NTFS. Однако, в Windows 2000 есть Recovery Console, позволяющая получить
доступ к разделу NTFS и манипулировать находящимися на нем файлами.
Recovery Console доступна при загрузке с оригинального Windows 2000 CD-ROM.
Вы также сделать так, чтобы Recovery Console находилась в меню загрузки,
запустив программу WINNT32 /CMDCONS.
Поскольу система NTFS имеет много преимуществ перед FAT и FAT32, она
явялетя оптимальным выбором для Citrix MetaFrame.
RAID
Windows 2000 поддерживает программные массивы RAID. Программный RAID
подразумевает, что у вас имеется достаточное количество установлнных жестких
дисков; в этом случае вы можете создать массив, не устанавливая
специализированный контроллер. Windows 2000 поддерживает следующие типы
RAID:
Уровень Тип
Отказоустойчивость
Мин.
число
дисков
RAID 0
Disk striping
Нет отказоусточивости - в случае
повреждения диска система становится
неработоспособной
3
RAID 1
Зеркалирование
Хорошая отказоустойчивость - в случае
повреждения одного диска, второй
можно настроить как загрузочный диск
2
RAID 1
Дуплексирование
Хорошая отказоустойчивость - в случае
повреждения диска или контроллера,
второй можно настроить как
загрузочный диск
RAID 5
Disk striping with
parity
Высокая отказоустойчивость - в случае
сбоя диска весь массив можно
перестроить не выключая сервер
Если есть возможность, используйте RAID 5. Лучше всего использовать
аппаратный RAID, поскольку он не создает лишней нагрузки на операционную
систему. Кроме того, большинство аппаратных RAID имеют возможнось "горячей
замены" дисков. С точки зрения операционной системы, аппаратный RAID
выглядит как один жесткий диск.
Fibre Channel
Самым распространенным интерфейсом является SCSI. Однако, появилась новая
технология - Fibre Channel. Fibre Channel быстрее, чем SCSI. Кроме того, она
имеет т.н. Fibre Channel-Arbitrated Loop (FC-AL), которая позволяет нескольким
устройствам быть подключенными к одному интерфейсу на одном компьютере.
Сети хранения данных (SAN)
Технология Fibre Channel используется в сетях хранения данных по причине ее
скорости и масштабируемости. Системы хранения данных Fibre Channel
подключаются прямо к сети хранения данных:
Сети хранения данных масштабируются в терабайтах информации. Нагрузка на
локальную сеть уменьшается, поскольку для обмена данными используется
отдельная цепь. Сети хранения данных критичны в интернет-системах из-за их
масштабируемости. Множество серверов в интернет и интранет могут иметь
доступ к одной и той же базе данных. По сравнению с традиционными системами
хранения данных на жестких дисках, SAN позволяет централизованное
управление хранением данных. Не имеет значения, на каком файловом сервере
хранится нужный файл. Кроме того, доступ к данным обеспечивается как
локальных пользователей, так внешних пользователей интернет.
Если у вас в сети есть SAN, вы должны проанализировать, какой тип доступа к
данным нужен пользователям, и нужно ли к SAN подключить ваш сервер Citrix
MetaFrame. Однако, поскольку сервер Citrix MetaFrame традиционно является
клиентом к другим серверам, маловероятно, что вам потребуется прямое
взимодействие этого сервера с SAN.
Сетевые интерфейсы
Некоторые продавцы предлагают аппаратное обеспечение сервера,
поддерживающее несколько сетевых адаптеров, что позволяет разбить сетевой
траффик. Это используется для балансировки нагрузки или обеспечения
отказоустойчивости (на случай выхода из строя одного из сетевых адаптеров).
Если на сервере работают несколько пользователей, вы можете обнаружить, что
сетевой адаптер является узким местом. Для избежания этого вы должны
выбрать сервер с возможностью балансировки нагрузки по нескольким сетевым
адаптерам.
Если сервер Citrix MetaFrame имеет несколько сетевых адаптеров, подключенных
к отдельным сегментам сети и имеющих собственные IP-адреса, этот сервер не
должен выполнять роль ICA Master Browser. Master Browser может посылать
широковещательные пакеты только в один сегмент; затем он переключается на
второй, влияя на производительность других серверов Citrix MetaFrame. Служба
ICA Browser для коммуникации с остальными серверами использует прямые
пакеты. Если вы хотите связать несколько сервером Citrix Metaframe,
находящихся в разных сегментах, вы должны использовать ICA Gateway для
обеспечения связи между двумя ICA Master Browsers.
Для конфигурации службы ICA Browser откройте утилиту "Citrix Server
Administration". Выберите закладку ICA Browser. Выберите сервер, настройте ICA
Browser так, чтобы он не пытался становиться Master Browser и нажмите кнопку
Apply. Затем откройте утилиту Services из меню Administrative Tools и
перезапустите службу ICA Browser Service.
Модемы
Citrix Metaframe позволяет удаленным пользователям получать доступ к
приложениям. Тогда возникает вопрос - будут ли пользователи звонить сразу на
сервер Metaframe или на другой сервер RAS, находящийся где-то в сети.
Если у вас есть сервер RAS, то вам можно не заботиться о модемах. В противном
случае необходимо выбрать модемы. Необходимо настроить Citrix MetaFrame для
поддержки нескольких одновременных соединений. Если у вас есть 15
пользователей, но только 8 из них будут дозваниваться одновременно, вам
необходим модемный пул минимум на 8 модемов. Вы должны включить больше
модемов, чем требуется по минимуму, чтобы обеспечить нормальное
функционирование при высокой нагрузке и для обеспечения отказоустойчивости
в случае поломки одного из модемов. Чтобы поддерживать несколько модемов,
вы можете купить модемные карты или монтируемый в стойку модемный пул.
Слово "модем" относится к аналоговым модемам. В некоторых регионах,
например, в Европе, вам может потребоваться пул модемов ISDN. ISDN
предоставляет цифровой доступ по медным телефонным проводам. Существует
две конфигурации:
1. Basic Rate Interface (BRI)
Канал шириной 144 Kbps делится на один канал данных (D) со
скоростью 16 Kbps и два опорных канала (B) со скоростью 64 Kbps.
Каналы D могут нести избыточный траффик, а каналы B могут
нести голос и данные. BRI работает по стандартным телефонным
проводам.
2. Primary Rate Interface (PRI)
Канал шириной 1.54 Mbps использует один канал D со скоростью
64 Kbps и 23 канала B со скоростью 64 Kbps. PRI использует
выделенную линию T1 и не работает по обычным телефонным
проводам.
При использовании дозвонки скорее всего вы будете использовать
конфигурацию BRI, причем в большинстве случаев - один канал B. Однако, вы
можете иметь конфигурацию PRI, допускающую дозвон 23 пользователей по
разным B-каналам. Для этого необходимо специальное оборудование,
маршрутизатор ISDN, который принимает звонки отдельно от сервера. Если вы
купили адаптер ISDN, устанавливаемый в сервер, вам следует воспользоваться
мастером установки Add/Remove Hardware в Панели Управления.
По завершении этого этапа, вам необходимо создать соединения, доступные для
входящих звонков. Для этого щелните правой кнопкой мыши на My Network
Places и выберите Properties, дважды щелкните на Make New Connection. После
появления мастера выберите опцию Accept Incoming Connections, как показано
на рисунке:
Нажмите Next и выберите интерфейс, который будет принимать звонки.
Далее выберите в Active Directory пользователей, которым разрешено
подключение. Затем выберите протоколы, разрешенные для соединения. В
последнем диалоге вы можете присвоить соединению имя и нажмите кнопку
Finish для завершения установки.
Размещение сервера в сети
Расположение сервера влияет на производительность приложений в сети.
Обычно при размещение сервера вы стараетесь поместить его поближе к
пользователям, чтобы уменьшить нагрузку на сеть. В модели Citrix MetaFrame
вам следует располагать сервер ближе не к пользователям, а к данным, к
которым требуется доступ.
Прежде всего вы должны оценить производительность и стабильность сети, что
очень важно для приложений. Для начала составьте диаграмму вашей сети. Она
должна включать следующие элементы:




Сегменты сети и их скорости
Маршрутизаторы, коммутаторы, мосты, межсетевые экраны
Сетевые протоколы в каждом сегменте и диапазоны адресов
Проблемные области - участки с большим количеством ошибок или
перегруженные сегменты.
Проектирование сети с несколькими серверами MetaFrame
После установки сервера Citrix MetaFrame, он быстро становится критическим
сервером в сети. Одни пользователи требуют от сервера представления целого
рабочего стола, пользователи интернет могут требовать доступ к вебприложениям. Все пользователи требуют возможности запуска приложения со
своего рабочего стола. Из-за критической важности сервера вам необходимо
уменьшить риск его сбоев. Это делается установкой нескольких серверов,
предоставляющих один и тот же набор приложений. Этот процесс называется
масштабированием серверов в сети, вместо масштабирования одиночного
сервера.
Когда несколько серверов Citrix MetaFrame предоставляют доступ ко многим
приложениям, они должны быть размещены рядом с от центральной магистралью
(backbone), поближе к серверам-источникам данных. Допустим, некоторая сеть
имеет сервер Lotus Notes в Сарасоте (штат Флорида), SQL-сервер в Бостоне
(штат Массачусетс), сервер Oracle в Токио (Япония). Тогда есть три варианта
размещения этих серверов:
1. Выделенный сервер Citrix MetaFrame для каждого из приложений.
В нашем сценарии один сервер Citrix MetaFrame в Бостоне
предоставляет доступ к SQL-приложению, еще один сервер Citrix
MetaFrame в Сарасоте предоставляет доступ к приложеиям Notes, и
третий сервер в Токио - доступ к Oracle. Преимуществом такого
подхода является оптимальная производительность. Недостаток
состоит в том, что один сервер может оказаться перегруженным, в
то время как остальные будут простаивать.
2. Поместить все сервера (SQL, Notes и Oracle), а также три сервера
Citrix MetaFrame, на магистраль и настроить балансировку
нагрузки. Преимуществом такого решения является упрощение
администрирования. Недостаток состоит в том, что
производительность будет зависить от скорости магистрального
канала.
3. Перенести все серверы в одно место на один сегмент и установить
серверы Citrix MetaFrame на этом же сегменте, включив
балансировку нагрузки. В этом случае мы получаем преимущества
в лекгости администрирования и оптимальную
производительность.
Балансировка нагрузки
Балансировка нагрузки означает, что обработка данных распределяется по
нескольким компьютерам в сети. В результате в единицу времени выполняется
больше работы и устраняются узкие места.
Одним из преимуществ механизма балансировки нагрузки является
отказоустойчивость. Поскольку для балансировки нагрузки требуется несколько
серверов, осуществляющих одинаковые функции, при выходе одного из них из
строя остальные автоматически возьмут на себя его работу.
Для реализации балансировки нагрузки существует несколько способов. Первый
из них, программный, заключается в том, что некоторая программа принимает
весь траффик, а затем перенаправляет его другим серверам в сети.
Другой метод, аппаратный, обычно состоит из компьютера и коммутатора или
маршрутизатора, который перенаправляет траффик на другие серверы сети. Вы
можете купить уже настроенный серверный кластер с автоматической
балансировкой нагрузки между серверами, входящих в кластер.
Третий метод, балансировка нагрузки приложений, слегка отличается от других.
Citrix разработала службу "Citrix Load Balancing" для использования с
несколькими серверами WinFrame и MetaFrame. Этот процесс начинается с
запроса приложения клиентом. Сервер, к которому обратился клиент,
определяет, какие серверы в сети настроены на это приложение. Затем этот
сервер определяет, какой сервер MetaFrame наименее загружен. Алгоритм
основан на т.н. коэффициенте загрузки (load factor). Он вычисляется исходя из
использования процессора, файла подкачки, количества подключенных
пользователей, а также системные переменные. Этот коэффициент вычисляется
для каждого сервера, а затем выбирается сервер с наименьшим его значением.
После этого служба рспределения нагрузки прозрачно перенаправляет сессию
клиента на этот наименее загруженный сервер.
Служба балансировки нагрузки Citrix не зависит от аппаратного обеспечения,
поэтому вы можете использовать любое оборудование, на котором может
работать Windows 2000. Она также не зависит от приложений. К любому
приложению, способного выполняться под MetaFrame, можно применить
балансировку нагрузки. Эта служба также не зависит от количества серверов
или от типа сети (может работать как в локальной, так и в глобальной сети).
Внимание
Если вы с некоторым сервером используете прямые асинхронные соединения, вы не
получите преимуществ от балансировки нагрузки. Сервер, принмающий прямые
асинхронные соединения, не может перенаправлять запросы на другой сервер. Если вам
необходимы модемные соединения, вы должны установить сервер RAS.
Однако, приложения автоматически не предоставляют услуги отказоустойчиости.
При поломке сервера пользователи могут продолжаь загружать
балансированные приложения и продолжить работу. При проектировании
нескольких серверов вы всегда должны стремиться хранить пользовательские
данные на других серверах, отличных от MetaFrame, чтобы в случае выхода из
строя сервера MetaFrame доступ к данным не прекратился. Допустим, у вас есть
два сервера MetaFrame - Meta1 и Meta2, сконфигурированные для балансировки
приложений. Если пользователь Вася хранит свои данные на сервере Meta1, то
при выходе его из строя Вася сможет запустить приложение, но не сможет
получить доступ к своим данным. Даже если Meta1 все еще в он-лайне, но Вася
подключается к Meta2 и не может найти там свои данные, поскольку они
сохранены на локальном диске сервера Meta1.
С другой стороны, если данные хранятся на сервере Data1, администратор Коля
может настроить скрипт для переназначения дисков так, чтобы при любом
подключении Васи к приложению, он видел свои данные всегда на диске J:
Использование пула лицензий
Ведение пула лицензий отличаетсяот балансировки приложений. Пул лицензий
не перенаправляет клиента на наименее загруженный сервер, вместо этого
сервер может принимать клиентские соединения даже в том случае, если все его
собственные лицензии уже использованы, но другой сервер Metarame имеет
свободные лицензии. При этом не обязательно делать общими все лицензии.
Администратор может зарезервировать часть только для этого сервера, а
остальные отдать в пул лицензий.
Например, пусть у нас будет два сервера - Pool1 и Pool2, настроенные на пул
лицензий, и каждый из них имеет 20 лицензий. Если Pool1 раздал все свои
лицензии, а клиент пытается получить доступ к Pool1, в норомальной ситуации
клиент получил бы отказ. Однако, при использовании пула лицензий Pool1
просто заимсвует одну из свободных лицензий у Pool2 и разрешает клиенту
подключиться.
Протоколы MetaFrame
Определение мощности и числа серверов это лишь половина работы. Вторая
половина заключается в определении числа клиентов, собирающихся
подключаться к своим приложениям. Вы должны выбрать протокол для ICAклиента. MetaFrame поддерживает следующие типы соединений:


Прямое асинхронное модемное соединение
Интернет



RAS в режиме удаленного узла
Рабочая станция, подключенная через LAN
Рабочая станция, подключенная через WAN
Единственный тип соединения, не зависящий от сетевого протокола, является
прямое асинхронное соединение. Для его реализации необходимы модемы,
подключенные непосредственно к серверу Citrix MetaFrame и принимающие
только ICA-соединения.
TCP/IP
Транспортный протокол TCP/IP - это стек протоколов. Большинство локальных и
глобальных сетей используют его для выхода в Интернет. TCP/IP также
поддерживает протокол Point-to-Point Protocol (PPP). Единственный случай, когда
вы не можете использовать TCP/IP - это прямые асинхронные соединения. Из-за
универсальности TCP/IP он является кандидатом номер один для использования,
даже если вы не собираетесь подключаться к Интернет.
IPX/SPX
Протокол Internetwork Packet eXchange/Sequenced Packet eXchange (IPX/SPX)
используется в сетях Novell NetWare. Citrix MetaFrame позволяет использовать
либо IPX, либо SPX. IPX/SPX можно использовать также поверх PPP-соединений,
поэтому если у вас есть соответствующим образом настроенный сервер RAS, вы
можете использовать IPX или SPX. Однако, IPX и SPX не подходят для
использования в Интернет. Если у вас есть серверы NetWare, вам следует
использовать для соединения IPX/SPX. Если рабочая станция может
поддерживать несколько протоколов, то IPX/SPX можно использовать для
подключения к серверам NetWare, а TCP/IP - для подключения к MetaFrame.
NetBEUI
Протокол NetBIOS Extended User Interface (NetBEUI) используется в серверах
Windows NT. Это немаршрутизируемый протокол и не используется в глобальных
сетях, поэтому его нельзя использовать в Интернет. Однако, его можно
использовать в локальной сети через соединение PPP в режиме удаленного узла.
NetBEUI постепенно вытесняется из линейки Windows NT и Windows 2000. Во
времена Windows NT 3.5x он был протоколом по умолчанию, но затем его место
занял TCP/IP. В Windows 2000 протокол TCP/IP является не просто протоколом
по умолчанию, а необходимым протоколом.
Вы должны избегать добавления протоколов, не использующихся в вашей сети.
Сделав обновление Windows 2000, вы можете удалить NetBEUI. Вы также
должны избегать использования NetBEUI в качестве протокола соединения.
ICA
ICA - это протокол, позволяющий удаленные сеансы между клиентом и сервером
Citrix MetaFrame. Это единственный протокол, используемый в прямых
асинхронных соединениях. ICA работает поверх протоколов TCP/IP, IPX/SPX и
NetBEUI для всех остальных типов удаленных соединений. ICA является очень
гибким протоколом, учитывает особенности транспортных протоколов и
предоставляет только необходимые сервисы.
Траффик ICA-поиска (ICA Browsing) слегка отличается от траффика сессий.
Траффик поиска возникает при запросе клиентом списка опубликованных
приложений или списка серверов Citrix. При использовании TCP/IP это делается
по протоколу UDP через порт 1604. Траффик сеанса идет через порт TCP 1494.
Если на сервере установлен XML и MetaFrame Feature Release 1 (MetaFrame XP),
то траффик поиска может осуществляться через TCP/IP, вместо UDP.
Анализ среды
Решая вопрос о размещении серверов Citrix MetaFramer, независимо от их числа
и используемых протоколов, вы должны учитывать ряд аспектов:
Вопрос
Назначение
Какие требования
предъявляются к серверу
MetaFarme?
Этот вопрос позволить определить, к каким
серверам и данным следует поближе поместить
сервер Citrix MetaFrame
Каким образом пользователи
будут подключаться к Citrix?
Это поможет вам выбрать необходимые
протоколы.
Какие приложения будут
использоваться на сервере
Citrix?
Это определяет требования к оборудованию
сервера
К каким сетевым ресурсам и
данным сервер MetaFrame
должен получать доступ в
качестве клиента?
Это поможет определить необходимую
конфигурацию сервера. Например, если данные
находятся на сервере Netware, то вам
понадобится протокол IPX/SPX и клиент Netware,
установленный на сервере Citrix.
Где находятся эти сервера в
сети?
Если серверы находятся в разных сегментах сети
или даже в разных зданиях, вам может
понадобиться пересмотреть их расположение
Какое влияние окажет
сервер Citrix MetaFrame на
политику безопасности сети?
Вам следует определиться - будете ли вы
предоставлять доступ в Интернет из сервера
MetaFrame и надо ли открывать на проксисерверы порты для протокола ICA, а также как
настроить безопасность пользователей на
сервере.
Как спроектировать Active
Directory и какие домены
содержат серверы данных, к
которым требуется доступ со
стороны Citrix?
Вам следует определить, членом какого домена
следует сделать сервер Citrix (сервер MetaFrame
не должен быть контроллером домена).
Есть ли в сети несколько
сегментов, из которых
необходим доступ к серверу
MetaFrame?
Возможно, вам следует установить
маршрутизатор. На сервер Citrix Metaframe не
следует устанавливать несколько сетевых карт,
иначе ICA Browser не сможет привязаться к
сетевой карте и это вызовет проблемы
Какие имена рабочих
станций следовать
Вам следует использовать уникальные имена для
рабочих станций или пересмотреть систему
использовать и какое будет
соглашение по именованию?
именования. Чтобы работала печать, клиенты ICA
должны иметь уникальные имена.
Какие будут имена
пользователей?
Если имена пользователей будут уникальными, то
в скриптах можно использовать переменные
%username% для учета индивидуальных настроек.
Возникнут ли осложнения с
пользователями?
Вам следует определиться с порядком
переназначения букв дисков при интеграции с
рабочим столом пользователя. Лучше всего
переназначить диски сервера начиная с M:.
Однако, в случае конфликта, вы можете выбрать
другие буквы. Диски клиентов будут иметь
обычные имена - C: останется диском C:
Где будут храняться
пользовательские данные?
Если вы держите данные пользователей на
разных серверах, то легче реализовать
балансировку приложений, кроме того,
упрощается резервное копирование и повышается
производительность сервера.
Какое аппартное и
программное обеспечение
будт использовать клиент?
Ответ на этот вопрос определяет, каких клиентов
следует загрузить с сервера http://www.citrix.com
Как будут подключаться
удаленные пользователи?
Нужно ли вам устанавливать прямые асинхронные
модемные соединения или достаточно имеющихся
в сети серверов RAS.
Что нужно пользователям?
Это определяет, какие программы,
непосредственно не относящиеся к бизнесу,
необходимо установить на сервере.
Требуется ли для некоторых
пользователей повышенный
уровень безопасности?
Вам следует рассмотреть вопрос о помещении
пользователей в разные группы с разными
правами. Например, вы можете запретить
некотрой группе печать или копирование данных,
а другой группе эти права предоставить.
Требуется ли поддержка
COM-портов, звука и
большого количества
цветов?
Вы можете настроить сеансы пользователей так,
чтобы они использовали свои приложения
привычным для себя способом.
Каковы требования
пользователей к печати?
Печать обычно является критическим аспектом,
поэтому вы должны тщательно собрать подробную
информацию и периодически тестировать печать.
Проектирование внутренней сети
Локальная сеть (LAN)
Возьмем для примера локальную сеть Token Ring некотрой страховой компании
"Finance Advantage". В ней работает 100 сотрудников. Из них 60 агентов
работают за пределами основного офиса. В компании имеются серверы NetWare
и Windows NT, поэтому в сети используются протоколы IPX/SPX и NetBIOS.
Компания планирует в течении шести месяцев провести линию для подключения
к Интернет, планирует свой рост приблизительно на уровне одного агента в год
в течении следующих трех лет. Компания собирается сейчас установить сервер
Citrix MetaFrame на базе Windows 2000, чтобы ее агенты могли получать доступ к
новой программе страхования по телефонным каналам, а административный
персонал - по локальной сети. Данные для программы находятся на сервере
Windows NT. Программа страхования основана на вводе данных, и после
тестирования выяснили, что один процессор способен поддерживать до 45
одновременных пользователей, а каждый сеанс требует 4Мб RAM.
В этом окружении мы можем лишь подключить сервер Citrix MetaFrame к
существующей сети Token Ring. Хотя можно установить сервер Citrix в другой
сегмент, у нас нет для этого причины. Вряд ли у нас будет более 60
одновременных пользователей. Это значит, что нам потребуется минимум 2
процессора и минимум 368MB RAM (60 users x 4MB RAM + 128 Base RAM = 368MB
RAM), округляем эту цифру до 512MB RAM.
Поскольку пока нет существующего метода удаленного доступа,
предпочтительнее использовать прямое асинхронное соединение. Тем самым мы
снижаем нагрузку на локальную сеть, а значит увеличиваем скорость локальной
печати. Кроме того, нам не надо заботиться о смене протоколов на стороне
удаленных пользователей, что в будущем уменьшит административные затраты.
Это означает, что один сервер с двумя процессорами является наилучшим
вариантом. Для этого сервера компания выбрала аппаратный дисковый массив
RAID 20GB с возможностью горячей замены и резервным источником питания.
Они также выбрали модемную стойку на 30 модемов и подключили ее напрямую
к серверу Citrix MetaFrame.
Теперь доступ в сеть можно получить по протоколам NetBEUI или IPX/SPX, но в
будущем планируется переход на TCP/IP. Пока компания выбрала NetBEUI,
поскольку данные хранятся на сервере Windows NT.
Глобальная сеть (WAN)
В этом примере кредитная компания "Affluenz" насчитывает более 60,000
служащих по всему миру. Штаб-квартира расположена в Нью-Йорке, еще два
больших отделения с численностью 5000 и более пользователей находятся в
Сиднее и Мюнхене. 20 отделений по всему миру используют связь разного типа,
включая спутниковую, Frame Relay, выделенные линии. Affluenz использует
только TCP/IP, поскольку модернизировала свою сеть Novell NetWare и перешла
только на IP. Affluenz имеет два мейнфрейма в своих штаб-квартирах и 235
серверов Windows 2000, разбросанных по глобальной сети и выступающих в
роли серверов-членов и контроллеров доменов в дереве Active Directory,
состоящем из двух доменов. Affluenz обнаружила в последние два года большой
поток мошеннических операций с пластиковыми карточками и нуждается в более
продвинутой системой слежения за транзакциями. Для этого они купили систему
безпасности на базе SQL-сервера и заставили программистов написать
интерфейс для службы безопасности.
В каждом из отделений установлена локальная сеть, аналогичная сети компании
"Finance Advantage" с серверами Citrix MetaFrame. Компания Affluenz решила
установить Citrix MetaFrame чтобы сэкономить на медленных каналах связи.
Приложение используют 250 сотрудников службы безопасности, и около 200 из
них будут работать с ним целый день, отслеживая транзакции. Учитывая разницу
во временных зонах, число одновременных пользователей во время наивысшей
нагрузки будет около 175. Тестирование приложения показало, что один
процессор поддерживает до 20 пользователей, а каждый сеанс требует 8MB
RAM. На сервере нет файлов данных, поэтому использован обычный дисковый
массив RAID 30GB. Новая программа для службы безопасности будет находится
на сервере базы данных в Нью-Йорке, поскольку будет обмениваться данными с
расположенным там мейнфреймом. Текущая конфигурация сети Affluenz:
При проектирвоании серверов Citrix MetaFrame для этой сети потребуется 9
процессоров и 1528MB RAM (или 1.5 GB). Поскольку Affluenz собирается в
следующие два года удвоиться, мы можем рассчитывать на удвоение числа
процессоров до 18 и 3GB RAM. Для повышения отказоустойчивости Affluenz
будет использовать балансировку нагрузки приложений, распределяя нагрузку
на пять четырехпроцессорных сервера, имеющих по 1GB RAM каждый. Все эти
серверы находятся в Нью-Йорке в одном сегменте, что и SQL-сервер и
приложение безопасности. Клиенты будут получать доступ к серверам через
TCP/IP.
Интернет
В этом сценарии, пусть у нас будет некоторое издательство, BookMill. BookMill
расположено в Ралиге (Северная Каролина), насчитывает 20 сотрудников. В нем
занято также 10 редакторов, работающих дома и находящихся по всей
территории США и Канады. Кроме того, BookMill привлекает к участию в
проектах авторов со всех Соединенных Штатов и Канады. Хотя BookMill
насчитывает более 150 авторов, только 20 или 30 из них работают над проектом
одновременно. BookMill продает свои книги через свой веб-сайт и использует
электронную почту для связи со своими удаленными редакторами,
корректорами, авторами. Теперь издательство хочет установить сервер Citrix
MetaFrame чтобы обеспечить доступ через Интернет к проектным приложениям.
Сеть BookMill основана на локальной сети Ethernet, подключенной к Интернет по
линии T1. Веб-сервис предоставляют два сервера. Оба размещены в
демилитаризованной зоне (DMZ). Само приложение находится на сервере базы
данных в локальной сети, использующей только протокол TCP/IP. Тестирование
приложение показало, что один процессор поддерживает до 20 пользователей, а
каждый сеанс требует 6MB RAM. Ожидается не более четырех одновременных
пользователей, но в конце проекта это число может вырости до 10. BookMill
сильно выросло за последние три года и рассчитывает на расширение своего
бизнеса в следующие два года. Издательство рассчитывает на удвоение числа
проектов. BookMill также хочет обеспечить доступ даже в случае выхода сервера
из строя.
Сервер требует одного процессора, даже при росте числа пользователей. памяти
требуется 248MB, что после округления дает 256MB RAM Файлы данных
находятся на сервере базы данных, поэтому достаточно массива RAID 10GB. Для
обеспечения отказоустойчивости необходимо два сервера с 1 процессором,
256MB RAM и диском 10GB. Эти серверы Citrix MetaFrame будут помещены в
DMZ. Они будут настроены на предоставление доступа к приложению через вебстраницу в Интернет. Администраторы BookMill собираются использовать
безопасность как на сервере баз данных, так и на сервере Citrix MetaFrame, с
тем, чтобы ограничить доступ только для авторов, редакторов и корректоров.
Приложение установлено локально на рабочих станциях, и им не требуется
доступ к серверу Citrix MetaFrame.
Переход на Citrix MetaFrame 1.8
Если вы планируете обновление Citrix MetaFrame for Windows NT 4.0 Server до
Citrix MetaFrame 1.8 for Windows 2000, вы можете это сделать так, чтобы
сохранить существующие настройки пользователей и установленные
приложения. Единственное, о чем вы должны побеспокоиться - чтобы ваше
аппаратное обеспечение было совместимым с сервером Windows 2000. Вы
можете обратиться к Hardware Compatibility List компании Microsoft.
Когда вы будете готовы к обновлению, в первую очередь сделайте резервную
копию всего сервера, включая реестр и все системные файлы. И обязательно
составьте план аварийного восстановления.
Завершив резервное копирование, заставьте всех пользователей выйти из
системы и завершите все отключенные сеансы. Затем запретите входящие
соединения, чтобы никто из пользователей не смог подключиться к серверу.
Задокументируйте все требования к серверу, включая:





Информацию о разбиении диска
Конфигурацию файла подкачки (если вы его настраивали)
Установленные протоколы
Требования к памяти
Специфические драйверы, например, для сетевого адаптера
Получите все инсталляционные диски, драйверы от производителя, все свежие
пакеты обновлений и заплаты.
Как и при установке Windows 2000, вы должны убедиться, что раздела жесткого
диска должно хватить для системных файлов, файла подкачки и приложений,
которые вы собираетесь инсталлировать на этот раздел. Если размер раздела
недостаточно велик, вам следует выполнить переразбиение диска на разделы.
Для этого вы можете использовать продукты третьих фирм, например, Disk
Image Pro. Или вы можете удалить существующие разделы вместе с данными и
выполнить разбиение диска на разделы. Убедившись, что у вас достаточно
свободного места, запустите программу установки. Windows 2000 автоматически
обнаружит существующую операционную систему и предложит обновление.
Следуя диалогам на экране и обращаясь к документации, завершите процесс.
Если вы решили сохранить старый раздел, и он был отформатирован в FAT, вам
следует преобразовать его в NTFS. Сделав это преобразование, вы не можете
вернуться назад. Если вы выполнили переход с Windows NT 4.0 и затем сделали
преобразование файловой системы в NTFS, вы не можете потом вернуться к to
Windows NT 4.0 без переразбиения диска. Windows NT 4.0 не понимает новую
файловую систему NTFS 5.0, используемую в Windows 2000. Преобразование в
NTFS выполняется следующей командой:
CONVERT C: /FS:NTFS
Замените C: именем нужного драйва.
После перехода на Windows 2000 Terminal Services следующей задачей является
установка Citrix MetaFrame 1.8 for Windows 2000.
Глава 5: Клиенты Terminal Services
Введение
Для подключения к серверу терминалов Windows 2000 вам необходима
программа, выступающая в роли терминала. Кроме того, вам необходим
протокол для траспорта информации. Все это обеспечивает терминальный
клиент.
Существуют три клиента Windows 2000 Terminal Services:



Клиент для Windows for Workgroups 3.11
Клиент для Windows 95, Windows 98, Windows NT 3.51, Windows NT
4.0 и Windows 2000
Клиент для Windows CE
Кроме того, Microsoft выпустила Terminal Services Advanced Client для
использования в веб-браузерах. Для подключения к терминальному серверу ваш
клиент должен работать на одной из вышеперечисленных операционных систем.
Ограничения клиента Terminal Services
Windows 2000 Terminal Services гораздо более продвинутый продукт, чем
Windows NT 4.0 TSE. Он обладает большей функиональностью и гибкостью. Тем
не менее, он имеет ряд ограничений. Большинство из них можно обойти,
используя Citrix MetaFrame.
Лицензирование
Лицензирование является большой проблемой. Microsoft стала использовать
новый подход к лицензированию. Оно разбивается на два компонента:
Microsoft Clearinghouse
Это база данных, используемая Microsoft для активации серверов
лицензирования и выпуска пакета клиентских лицензий. Она также хранит
информацию обо всех активных лицензиях.
License Server
Серверы Windows 2000 имеют опцию "Terminal Server Licensing". Ее задачей
является учет лицензий, установленных для терминальных серверов, а также
лицензий, выданных клиентам. Терминальные серверы должны иметь
возможность связываться с серверами лицензий до подключения клиентов.
Только один сервер лицензий отвечает за несколько терминальных серверов.
Взаимодействие всех компонентов показано на рисунке:
Terminal Server
Эти серверы не только раздают приложения, то также проверяют клиентские
лицензии на сервере лицензий. Если у клиента нет лицензии, она выдается
Сервером Лицензий через терминальный сервер.
Client Licenses
Каждый клиент, подключающийся к терминальному серверу, должен иметь
действительную клиентскую лицензию. Клиенты хранят лицензию локально и
предъявляют ее терминальному серверу во время регистрации. Терминальный
сервер в свою очередь проверяет ее на Сервере Лицензий и разрешает
подключение.
Серверы Лицензий могут быть настроены двумя сопосбами: как Доменный
Сервер (Domain License server), либо как Сервер Предприятия ( Enterprise
License server).
Domain License Server
Этот режим должен использоваться, если у вас есть рабочая группа или домены
Windows NT 4.0. Он также может использоваться, если вы хотите иметь
отдельные Серверы Лицензий для каждого домена. Терминальные серверы
должны находиться в том же домене, что и Сервер Лицензий. Это режим по
умолчанию.
Enterprise License Server
Этот тип сервера используется для доменов Windows 2000 и может обслуживать
сразу несколько доменов. Для установки Сервера Лицензий в режиме
предприятия вы должны использовать Add/Remove programs.
Вы должны активировать Сервер Лицензий в течении 90 дней после установки, в
противном случае в клиентских соединениях будет отказано. Вам понадобятся
не только лицензии на сервер Windows 2000, но и лицензии на каждое
клиентское устройство. Это делается на базе не пользователей, а клиентов. Если
у вас есть пользователь, который подключается из офиса и из дома, то вам
понадобится две разные лицензии. Windows 2000 Professional поставляется с уже
установленной клиентской лицензией, поэтому вам не надо ее покупать.
Совет
Будте осторожны с установкой терминального сервера в домен при использовании
Доменного Сервера Лицензий. Терминальные серверы для поиска Сервера Лицензий
используют широковещательную рассылку пакетов по сети. В домене Windows 2000 с
Enterprise License servers, терминальные серверы в поиске Сервера Лицензий
запрашивают Active Directory. Поэтому если у вас стоит маршрутизатор, который не
перенаправляет широковещательные пакеты, у вас возникнут проблемы.
Терминальный сервер будет следить за всеми Серверами Лицензий в своем
домене. Он также будет проверять наличие и доступность первичного сервера
лицензий каждые один или два часа. Если сервер лицензий не отвечает, то он
переключится на другой сервер лицензий. По этой причине рекомендуется иметь
резервный сервер лицензий в каждом домене.
Лицензирование клиента Terminal Services
При поключении клиента к терминальному серверу, тот обращается к Серверу
Лицензий. Сервер лицензий предоставляет лицензию клиенту, и соединение
разрешается.
Лицензии на Сервере Лицензий получают от Microsoft Clearinghouse. Это база
данных, находящаяся в Microsoft, содержащая список всех купленных лицензий.
Обращение к ней присходит во время процесса лицензирования терминального
сервера. Когда Сервер Лицензий запрашивает пакет лицензий, Microsoft
Clearinghouse предоставляет соответствующие лицензии серверу. После этого
сервер распространяет эти лицензии клиентам.
Существует два типа клиентских лицензий для Terminal Services: сетевая
лицензия и Интернет-лицензия. Лицензирование для сети возможно на базе
сервера (per-server) или на базе места (per-seat). Обычно используется второй
вариант. Это означает, что лицензия должна приобретаться для каждого
пользователя, подклчающегося к терминальному серверу. Интернет-лицензия
допускает схему на базе сервера. Лицензии должны приобретаться для для
максимального числа одновременно подключающихся к серверу пользователей.
Причиной использования лицензирования на базе сервера является то, что вы
не можете быть уверены, что пользователи, подключающеся через инернет,
будут иметь клиентскую лицензию.
Терминальные серверы Microsoft Terminal Services могут работать в режиме
application mode без лицензирования в течении 90 дней. Это дает вам время
опробовать продукт перед его покупкой.
Ограничения операционной системы
Microsoft ограничивает клиентов Terminal Services операционными системами
Windows. Это ограничение вытекает из соглашения между Microsoft и Citrix.
Добавление Citrix MetaFrame к вашему серверу позволит поддерживать
значительно большее количество типов клиентов. Помимо Windows-клиентов,
Citrix MetaFrame также поддерживает Macintosh, DOS, Java, UNIX, Linux, Sun.
Многие компании предпочитают устанавливать только Citrix MetaFrame из-за
необходимости поддерживать операционные системы клиентов, не
поддерживаемые Microsoft.
Ограничения протокола
Windows Terminal Services поддерживают только TCP/IP и протокол Remote
Desktop Protocol (RDP). Новые клиенты используют RDP 5.0, а старые клиенты
Terminal Server 4.0 используют RDP 4.0. RDP 5.0 быстрее и обеспечивает более
защащенные соединения. Он обратно совместим с RDP 4.0, однако, новые
клиенты не смогут подключаться к Windows NT 4.0 TSE. Вместе с тем, Citrix
MetaFrame поддерживает не только IP, но и IPX/SPX и NetBIOS.
Другие ограничения
Многие из ограничений клиента Terminal Services устраняются добавлением
Citrix MetaFrame. Citrix MetaFrame обеспечивает поддержку мультимедиа,
позволяет отображать локальные аудиоустройства. Хотя это требует большой
пропускной способности сети. Используя Citrix MetaFrame, клиенты могут иметь
доступ к своим локальным дискам как будто они подключены пряо к
терминальному серверу. Citrix MetaFrame позволяет перенаправление COMпортов, отображение буфера обмена. Часто это очень удобно.
Требования к клиенту
Служба Терминалов спроектирована так, чтобы снизить требования к мощности
клиента. В следующей таблице перечислены требования, предъявляемые к
каждой операционной системе.
Операционная
система
Процессор
Память
Windows 3.11
386
16 Mb
Windows 95
386
16 Mb
Windows 98
486
16 Mb
Windows NT 4.0
486
16 Mb
Windows 2000
Pentium
32 Mb
Windows CE
Любое устройство
Windows CE
Зависит от
устройства
Это минимальные требования. Для увеличения производительности вам следует
расширить эти требования.
Ключом повышению производительности является увеличение скорости между
клиентом и сервером. Вы должны сделать связь как можно эффективнее.
Один из методов увеличения производительности состоит во включении
компрессии данных. Это позволяет передавать в единицу времени больше
данных. Она особенно полезна для каналов с небольшой пропускной
способностью. Повысить производительность также позволяет кеширование
иконок.
Microsoft выпустила Terminal Services Advanced Client (TSAC) как ответ на
многочисленные запросы пользователей, требовавших возможность запукать 32битные приложения из браузера. TSAC встраивает эту функциональность в
Microsoft Internet Explorer через ActiveX. Этот компонент ActiveX и несколько
примерных веб-страниц можно взять с сайта www.microsoft.com. Опробовать
клиента в он-лайне вы можете по адресу www.trylive.co.uk/demo/.
Ручная установка клиента
Ручную установку клиента можно осуществить
несколькими способами. Файлы установки находятся на
терминальном сервере в каталоге
\\%systemroot%\System32\Clients\TSCLIENT\Net. Вы
можете сделать общий доступ к этому каталогу. Клиенты могут подключиться к
этому каталогу и оттуда установить программное обеспечение. Вы также можете
создать установочные дискетты, что мы и рассмотрим.
32-bit Windows
Для ручной установки 32-битного клиента, сначала создайте инсталляционные
диски.
1. Нажмите кнопку "Start" и выберите Programs, Administrative Tools,
Client Creator.
2. У вас появится меню Client Creator menu.
3. Выберите "Terminal Services for 32-bit x86 windows" и нажмите OK.
Вам потребуется две чистые дискетты.
4. Вставьте первую дискетту и процесс начнется создания
инсталляционных дисков.
5. Во время создания дискетт вы будете видеть экран состояния.
6. После создания дискетт вы получите сообщение об успешном
завершении.
Следующим шагом является собственно инсталляция клиента на рабочей
станции.
1. Дважды щелкните на иконку "Setup" или введя с командной строки
A:\setup.
2. Появится окно приглашения к установке
3. Вас попросят ввести наименование организации
4. Вы должны принять условия стандартного лицензионного
соглашения
5. Щелкните кнопку "Setup" и процесс установки пойдет дальше. Вы
также можете изменить каталог установки, нажав кнопку Change
Folder.
6. Затем вы должны решить, должен ли клиент быть установлен для
всех пользователей или только для текущего. Выбор "Yes" сделает
клиента доступным для всех пользователей.
7. Нажмите "OK" для завершения установки.
16-bit Windows
Процесс установки аналогичен 32-bit Windows. Вы также начинаете с создания
инсталляционных дискетт, но выбираете из меню "Terminal Services for 16-bit
windows".
Windows CE
Установка клиента на Windows CE несколько отличается от 16- и 32-битных
клиентов. Клиент Windows CE не доступен на сервере в Client Disk Creator. Для
установки клиента Windows CE, вы должны загрузить программное обеспечение
c веб-сайта Microsoft. Загруженный файл представляет собой
самораспаковывающийся архив. Просто дважды щелкните на нем для запуска
установки.
При обновлении клиентов их настройки не затрагиваются. Для создания новой
настройки соединения вы можете поступить несколькими способами.
Предпочтительный метод не требует вмешательства пользователя. Перед
распространением клиента пользователям, создайте соединение по протоколу
RDP 5.0. После настройки экспортируйте ее в файлы .CNS. После этого
поместите их на первый инсталляционный диск или в каталог установки. При
запуске программы установки она проверяет наличие файлов .CNS. Если они
существуют, то они используются для создания настроек. Другой метод состоит в
отправке файлов .CNS пользователям, чтобы они вручную их импортировали,
запустив клиента с ключом `-import' в командной строке или выбрав опцию
`import' в меню `file'.
Автоматическая установка клиента
Методы установки
Простейший способ установки терминального клиента является ручной. Однако,
это утомительно. Атоматическую установку сложно вначале настроить, но потом
установка будет легкой и простой. Вам не надо будет ходить расставлять по
рабочим станциям клиентов.
32-bit Windows
Для автоматической установки вам необходим метод автоматического запуска
программы установки. Это можно сделать, добавив запуск установки в сценарий
входа (logon script). Каждый компьютер, подключающийся к вашему серверу,
может обрабатывать сценарий входа. Следующим шагом является использование
"тихой" установочной программы. При тихой установке пользователю требуется
минимум вмешательства. Тихая установка запускается тремя ключами:



/Q подавляет запрос подтверждений пользователя. Ему не
задается никаких вопросов. Он увидит только окно Exit после
завершения установки
/Q1 подавляет все запросы и прячет окно Exit.
/QT Подявляет все запросы, прячет все признаки инсталляции.
Пользователь даже не видит термометр установки.
Вы также можете сделать автоматическое конфигурирование клиентов с
помощью файлов .CNS
Пример автоматической установки.
1. Создайте файлы .CNS
2. В Менеджере Соединений на рабочей станции клиента выберите из
меню "File" опцию "Export All"
3. На вопрос имени файла введите conn.cns
4. Скопируйте файл в каталог
\\%systemroot%\System32\Clients\Tsclient\Net на терминальном
сервере
5. Сделайте общий доступ к каталогу
\\%systemroot%\System32\Clients\Tsclient\Net Назовите его
tclients
6. Добавьте следующую строку в сценарий входа пользователей,
которым должен быть установлен 32-битный клиент:
7.
\\servername\tclients\win32\setup /qt
Теперь при каждой регистрации пользователя клиент будет автоматически
загружен и сконфигурирован. Пльзователям ничего не надо делать, все
произойдет автоматически.
После загрузки клиента Terminal Services у вас появится два приложения. Одно
из них Клиент (Terminal Services Client), второе - Менеджер Соединений (Client
Connection Manager). Оба они позволяют подключаться к терминальному
серверу, но Менеджер Соединений содержит больше функций.
Terminal Services Client
Клиент - это упрощенное приложение для связи с сервером. В нем немного
настраиваемых параметров. Вы только выбираете, куда подключиться, размер
экрана, выбор компрессии данных и кеширования иконок. Вот четыре
параметра, которые вы можете изменять. Это приложение служит для простого
соединения с сервером.
Terminal Services Advanced Client
Microsoft в настоящее время работает над Расширенным Клиентом (Terminal
Services Advanced Client - TSAC). Это следующее поколение терминального
клиента, которое заменит существующих клиентов. TSAC поддерживает все
функции обычного клиента, плюс позволяет запускать терминального клиента в
окне веб-браузера. Теперь пользователи могут подключаться к терминальному
серверу и запускать приложения прямо через Интернет, просто указав
корректный URL. Ранее это было доступно только в Citrix MetaFrame. Microsoft
будет продолжать поддерживать старых клиентов, но не добавляя в них новые
функции. Все будущие обновления клиентов будут основаны на переходе на
TSAC. Однако, TSAC является 32-битным продуктом, т.е. не будет работать в
Windows for Workgroups.
Client Connection Manager
Client Connection Manager используется для настройки всех ваших соединений.
Вы можете сохранить соединения для последующенго использования. Client
Connection Manager позволяет создавать файлы .CNS для автоматической
установки.
Начнем с создания нового соединения.
1. Выберите "New Connection" в меню "File" Менеджера Соединений.
2. Запустится Мастер устанвки. Сначала вы должны ввести имя
сервера или его IP-адрес. Вы можете также запустить обзор сети в
поиске сервера.
3. Вы можете ввести учетную информацию пользователя. Если вы
заполнили ее здесь, она не будет запрошена при соединении.
Однако, учтите возможные проблемы с безопасностью.
4. Укажите размер экрана. Он зависит от вашего текущего сеанса
Windows.
5. Укажите, надо ли использовать сжатие данных и кеширование
иконок. Обе опции позволяют повысить эффективность
соединения.
6. Теперь вы можете выбрать программу, которую следует запускать
при каждом входе. Это полезно, когда ползователь запускает
только одну программу.
7. Выберите иконку для своего соединения. После этого процесс
создания нового соединения закончится.
После создания нового соединения вы можете вернуться и внести изменения в
его свойства. Для этого воспользуйтесь в меню "File" опцией "Properties"
Глава 6: Настройка клиентов Citrix MetaFrame
Введение
Клиенты Citrix MetaFrame могут виртуально работать на любой операционной
системе, а также из веб-браузера. Поддерживаются не только стандартные
рабочие станции, но и специальные ICA-терминалы, "Net PC". Независимо от
метода соединения, серверы приложений Citrix Metaframe позволяют
существенно уменьшить затраты на администрирование.
Выбор протокола
При выборе Citrix MetaFrame первым делом вы должны задате себе вопрос:
"Каким образом я буду подключаться к серверу MetaFrame?"
Для подключению с серверу можно использовать два протокола: RDP и ICA. RDP
работает только поверх TCP/IP. ICA поддерживает несколько транспортных
протоколов, включая TCP/IP, SPX, IPX, NetBIOS, а также прямое асинхронное
соединение.
Замечание
Прямой асинхронный доступ отличается от обычного соединения RAS, который также
поддерживается Metaframe. Прямой асинхронный доступ осуществляется обычно с
помощью прямого последовательного или нуль-модемного кабеля; он поддерживает
скорость передачи до 230 Кбайт/с
При выборе протокола вы должны учитывать ряд факторов:





Скорость канала связи
Маршрутизацию в локальной и глобальной сетях
Безопасность
Непосредственный дозвон
Ограничения аппаратного обеспечения сервера
Первый фактор, скорость связи или пропускная ширина канала, может быть не
столь важна в локальной 100-мегабитной сети. Однако, при доступе через
Интернет или модем вы обнаружите, что протокол ICA дает лучшую
производительность на медленных каналах.
Второй фактор, маршрутизация, также может не создавать проблем в локальной
сети. Установите протокол, совместимый с сервером, и вы готовы к соединению.
Если вы соединяетесь через Инетнет или глобальную корпоративную сеть, то
чаще всего используется TCP/IP.
Важным аспектом является модемный доступ. Многие администраторы ставят
один модем на сервер. Однако, если вы собираетесь предоставлять доступ для
многих пользовавателей, рекомендуется установить отдельные серверы RAS и
RADIUS. Если у вас немного пользователей, вы можете установить
мультимодемную карту, но это решение создаст дополнительную нагрузку на
сервер.
Чем больше протоколов, служб, приложений и пользователей вы добавляете в
систему, тем больше ресурсов они потребляют. Учитывайте это при расчете
требований к аппаратному обеспечению сервера и клиентов. Слабая кое-как
работающая клиентская система может не выдержать добавления всего одного
нового протокола.
Требования к пропускной способности
Протокол ICA требует в среднем 20 KB пропускной способности. Однако,
приложения, активно использующие графику или часто обновляющие экран,
могут требовать гораздо больше.
Я провел тестирование по Dual ISDN (каналы B 4-64Kbps) и дозвоне
непосредственно на T1-PRI в нашей сети и выяснил, что обычные терминальные
приложения и даже Microsoft Word и Excel использовали указанное среднее
значение загрузки, изредка поднимаясь до 60-70%-ного использования двух
каналов B (128Kbps). Однако, запуск Internet Explorer и просмотр сайта Citrix
вместе со скроллингом окна создал почти постоянную загрузку трех каналов B
(192Kbps) на уровне 75%.
Для сравнения, я решил подключиться к тому же серверу через RDP5. При
работе с терминальными приложениями большой разницы я не заметил. Когда я
запустил для проверки Internet Explorer для просмотра сайта Citrix и скроллинга
страниц, я заметил, что RDP5 занял все 4 канала B (256 Kbps), подняв загрузку
до 100%, мне постоянно приходилось ждать обновления экрана.
Установка клиентов MetaFrame Clients
DOS
Существует два клиента под DOS - 16-битный и 32-битный. 32-битная версия
потребляет значительно меньше основной памяти, используя защищенный
режим DOS. Для нее необходим DOS версии 4.0 и выше, а также процессор 386
и выше. 16-битная версия может работать на процессорах 286. Citrix объявила,
что не будет делать никаких усовршенствований 16-битного клиента. В
настоящее время в DOS-клиентах отстуствует Java или Automatic Linking and
Embedding (ALE).
Для установки 32-битного клиента ICA, выполните следующие действия:
1.Загрузите самую последнюю версию программы с сайта Citrix:
http://download.citrix.com
2.Скопируйте загруженный файл (EE000779.EXE) во временный каталог вашего
жесткого диска и запустите его для распаковки файлов клиента.
Где хранятся имена клиентов?
По умолчанию, при установке клиента в качестве имени клиента используется
имя вашего компьютера. Если ваш компьютер использует каке-то
общеупотребительное имя, например, John, Mary, client1, и т.д., вы должны либо
изменить имя компьютера, либо ввести другое имя клиента в конфигурации
клиента. Дублирующие имена клиентов, соединяющиеся с сервером MetaFrame,
могут вызвать нежелательные последствия. Если вы позже меняете имя
компьютера, клиент автоматически этого не распознает, а продолжает
передавать оригинальное имя, заданное при установке, на сервер Metaframe.
Для ручного изменения имени вы должны вручную отредактировать файл
Wfcname.INI на машине клиента. Этот файл обычно находится в корневом
каталоге (C:\). Вот часть содержимого этого файла:
[WFClient]
ClientName=K3
Измените значение имени клиента в параметре ClientName и сохраните файл.
3. Закройте все работающие программы.
4. Запустите install.exe для установки клиента либо с диска A:, либо из
временного каталога, в который вы распаковали файлы.
Создание дискетт DOS ICA Client
Для создания установочных дискетт введите команду
EE000779.EXE -d
Опция -d воссоздает оригинальный каталог установки таким образом, чтобы
файлы клиента можно было скопировать на гибкие диски. Вам понадобятся две
отформатированные чистые дискетты 1.44Мб. Вам следует пометить их как ICA
32 DOS Disk 1 и ICA 32 DOS Disk 2. Скопируйте файл EE000779.EXE во
временный каталог, например, C:\temp, и запустите EE000779.EXE -d. После
распаковки образуется следующая структура каталогов:
c:\temp\README.txt
c:\temp\disk1\
c:\temp\disk2\
Вставьте дискетту 1 и скопируйте на нее все файлы из каталога disk1. Затем вставьте
дискетту 2 и скопируйте на нее содержимое каталога disk2. Запустите install.exe и
следуйте инструкциям установки.
Windows 16-Bit
Установка 16-битного клиента для Windows начинается с загрузки свежей версии
клиента с веб-сайта Citrix http://download.citrix.com. Текущее имя файла 16битного клиента - we000779.EXE. Создание установочных дискетт и процесс
самой установки аналогичен 32-битному клиенту. 16-битный клиент для Windows
также можно использовать для установки на системах OS/2, но для этого надо
предпринимать специальные меры. Подробнее смотрите установку для OS/2.
Windows 32-Bit
Установка 32-битного клиента ICA начинается с загрузки его текущей версии с
www-сайта Citrix http://download.citrix.com. Выбрав клиента на странице
загрузки, прочтите лицензионное соглашение. Помимо загрузки самого ПО
клиента, вы можете скачать файл README, быстрое справочное руководство
(Windows Quick Reference guide), руководство администратора клиента (Windows
Client Admin Reference guide). Версия клиента, использованная для снимков с
экрана, была 4.21.779, а имя файла - ne000779.EXE.
Обычно специалисты в области информатики при обозначении версии клиента
ссылаются на последние три цифры. Другими словами, "клиент 779". Это
самораспаковывающийся EXE-файл размером около 2.57MB. Это означает, что
он не поместится на дискетту. После загрузки файла на ваш жесткий диск
запустите его на выполнение. Откроется окно сеанса MS-DOS с описанием файла
и запросом на разархивирование. Когда вы ответите "Yes", файлы распакуются в
тот же каталог, в котором находится ne000779.EXE. Клиента можно установить
из этого каталога; по сети из каталога с общим доступом, содержащего эти
файлы; или с дискетт, которые вы можете при необходимости создать. Для
установки с дискетт вам потребуется три чистые отформатированные дискетты.
Создание инсталляционных дискетт 32-битного клиента
1. Вместо простой распаковки ne00079.EXE, введите команду:
ne00079.EXE -d
2. Опция -d создаст следующую стркутуру каталогов ( в
данном примере мы распаковали в каталоге c:\temp):
3.
4.
C:\temp\README.txt
5.
C:\temp\disk1\
6.
C:\temp\disk2\
7.
C:\temp\disk3\
8. Перейдите в каталог C:\TEMP, введя с командной строки CD
C:\temp
9. Вставьте первую дискетту в дисковод м скопируйте файлы
из подкаталога C:\temp\disk1 на дискетту, введя команду
copy C:\temp\disk1*.* a:\
10.Когда копирование закончится, вставьте вторую дискетту и
скопируйте файлы из каталога C:\temp\disk2 командой copy
C:\temp\disk2*.* a:\
11.Когда копирование закончится, вставьте третью дискетту и
скопируйте файлы из каталога C:\temp\disk3 командой copy
C:\temp\disk3*.* a:\ Файлы можно скопировать из
Проводника, Norton Commander, Far - по вашему вкусу.
12.По завершении копирования закройте все работающие
приложения, вставьте дискетту 1 в дисковод и введите
команду A:\setup
13.Следуйте инструкциям на экране для установки клиента.
После разархивирования файлов мы готовы начать собственно процесс
инсталляции. Он не зависит от того, запустили ли вы setup.exe из каталога на
жестком диске, или с дискетты.
1. Для запуска установки, используйте Проводник Windows для
перехода в каталог, в который вы распаковали файлы (в нашем
примере это c:\temp), и дважды щелкните на setup.exe
2. Начнется процесс установки клиента Citrix MetaFrame. Появится
окно приглашения.
3. Щелкните кнопку "Next" и примите лицензионное соглашение.
4. Если вы уже установили клиента MetaFrame, или имеется более
ранняя его версия, вам будет предложено обновить его или
установить в другой каталог.
5. Выберите "Next" и появится следующее окно:
Это единственный этап установки, требующий от пользователя ручного
ввода. Все имена клиентов, соединяющиеся с сервером, должны иметь
уникальные имена, иначе возможны непредсказуемые ошибки. По
умолчанию принимается имя NetBIOS вашей машины Windows. Если вы
используете общеупотребительное имя, которое может использовать
другой клиент, измените его в этом окне. Это также можно сделать позже
при конфигурации клиента, но если два пользователя с разных
компьютеров соединяться с одним и тем же именем, многие настройки
могут быть повреждены, включая отображение дисков, принтеров, таймауты и другие важные системные ресурсы.
6. Щелкните "Next" для запуска копирования файлов на жесткий
диск.
7. Поздравляем! Если вы правильно следовали нашим указаниям, вы
должны увидеть сообщение о завершении установки. Не забудьте
перезагрузить машину, чтобы настройка рабочего стола и другие
системные настройки корректно завершились.
8. Итак, вы успешно установили клиента Citrix MetaFrame и
перезагрузили машину. У вас должна появиться иконка на рабочем
столе под названием "Citrix Program Neighborhood."
9. Кажется, все готово к подключению к серверу MetaFrame. Но не
так быстро! Если вы не подключаетесь к веб-странице,
использующей ICA или NFuse, вы должны указать клиенту метод
соединения с сервером. В следующих разделах мы расскажем о
настройке клиента.
Macintosh
Установка клиента Citrix MetaFrame на системе Макинтош достаточно
прямолинейный процесс, аналогичный установке 32-битного клиента Windows.
Перед установкой загрузите последнюю версию клиента с сайта Citrix
http://download.citrix.com. Клиент для Макинтош доступен на пяти языках Английском, Французском, Немецком, Испанском и Японском. Эти файлы
находятся в сжатом формате *.HQX и должны быть разархивированы
соответствующей утилитой, например, StuffIt. StuffIt можно взять с сайта Aladdin
Systems homepage. Инструкции по распаковке файлов *.HQX вы найдете в
справочном руководстве к StuffIt. После распаковки, откройте папку Citrix ICA
Client 4.1 и дважды щелкните на икнку инсталлятора. Следуйте инструкциям,
выдаваемым на экран. После установки вам следует настроить клиента.
Клиент для Макинтош не поддерживает асинхронные соединения с серверами
WinFrame или MetaFrame. Тем не менее пользователи могут установить
соединение по протоколу PPP к серверу RAS. Программы дозвона, использующие
PPP и доступные для Макинтош, включают в себя:





MacPPP (бесплатная) все еще доступна на многих веб-архивах.
Аналогичная версия включена в Mac OS 8.0 и выше. Обратитесь к
справочному руководству по Макинтош.
FreePPP (бесплатная): Rockstar software:
www.rockstar.com/ppp.shtml
Open Transport/PPP Работает с Mac OS 7.5.3 и более поздней,
поставляется с Mac OS версий от 7.6 до 8.1). Open Transport
наиболее распространенная утилита, поскольку включена в ОС.
Apple Remote Access Версия 2.1 поставляется как опциональное
дополнение к Mac OS 8.1; Версия 3.1 поставляется с Mac OS 8.5.
Существуют также плагины Macintosh Java и ALE, доступные на
сайте Citrix, но они нуждаются в дополнительной настройке на
сервере Citrix. Полезно почитать Руководство администратора
Ява-клиента на сайте Citrix.
OS/2
Для OS/2 клиента не существует. Единственные клиенты, которые могут
работать под OS/2 - это клиенты DOS и Windows 16-бит. При этом возможны
следующие способы соединения:


DOS: TCP/IP, IPX, NetBIOS, Async(direct), Async(модем)
Win16:TCP/IP, NetBIOS, Async(direct), Async(модем)
Обратите внимание, что ни один из них не поддерживает SPX, и только клиент
DOS может работать через IPX. Настройка клиента Metaframe в OS/2 не
предназначена для неподготовленного пользователя. Я слышал от многих
пользователей сообщения о "синем экране смерти" и других неисправимых
ошибках. Форум службы поддержки Citrix является наилучшим ресурсом, и вы
должны внимательно его прочитать перед попыткой запуска.
Установка OS/2
Прежде всего, установите OS/2 Warp 4.0 согласно инструкции. Вам следует
правильно установить поддержку сети (службы файлов и печати, Novell Netware,
TCP/IP, клиента Netware). Вам следует проверить работоспособность сетевого
адаптера. Если вы используете TCP/IP, укажите имя машины (hostname), IPадрес, маску подсети, шлюз по умолчанию. Обратитесь к руководству по
установке OS/2. Сетевое ПО для виртуальных сессий WIN-OS2 и DOS
добавляются автоматически.
Имя клиента и пароль на сервере Metaframe и на OS/2 должны совпадать. Вход
выполняется автоматически, и если учетные записи не совпадают, это может
вызвать блокировку бюджета пользователя, пока ее не снимет администратор.
Процедура установки
Если вы хотите использовать DDE и буфер обмена с клиентом Win-16 OS/2, вам
необходимо внести следующие изменения в системные настройки перед
установкой клиента MetaFrame:
1. В системной папке OS/2 щелкните System Setup, затем Win-OS/2
Setup.
2. Выберите закладку Data Exchange
3. В окне Data Exchange включите Public для DDE и Clipboard
4. Закройте все открытые окна
5. В системной папке OS/2 щелкните на Command Prompts
6. Щелкните правой кнопкой мыши на одной из иконок Seamless WinOS/2 или Full screen Win-OS/2 и выберите Settings.
7. Выберите закладку Session и измените радио-кнопки All DOS и WinOS/2, щелкните OK.
8. Установите параметр WIN_RUN_MODE в 3.1 Enhanced Compatibility.
9. Установите параметры WIN_CLIPBOARD и WIN_DDE в "On"
10.Закройте все окна для сохранения установок.
11.Если вы планируете использовать NetBIOS, откройте в текстовом
редакторе файл autoexec.bat и добавьте в него строку:
12.
C:\ibmcom\ltsvcfg n1=1
C - это имя системного диска OS/2.
Теперь вы можете запустить setup либо с дискетты, либо из каталога на жестком
диске. Имя машины и необходимые сетевые протоколы должны быть уже
установлены. Во время установки вас спросят опции входящих соединений (dialin). Я рекомендую не выбирать эту опцию на этапе установки, а настроить ее
позже, на этапе настройки для локального пользователя.
Процедура установки клиента DOS под OS/2
1. Загрузите последнюю версию клиента с сайта Citrix
http://download.citrix.com
2. Распакуйте файлы на дискетты или на жесткий диск и запустите
программу install
UNIX
Установка клиента Citrix MetaFrame на UNIX-системах может быть сделана
несколькими способами. Первый состоит в обычной распаковке и установке в
текстовом режиме. Второй метод включает использование графического
интерфейса (GUI) и процедуру установки на основе RPM-файлов, используемых
в Red Hat и совместимых системах. Citrix имеет специализированных клиентов
для HP-UX, Solaris (Sparc, Sun, x86), Tru64, IBM AIX, SGI, SCO и Linux.
Поддерживаются следующие версии:
ОС
Версии
Digital
Unix
3.2 и выше
HP-UX
10.20 и выше
IBM AIX
RedHat 5.0 и выше, Caldera 1.3 и выше, SuSE 5.3 и выше,
Slackware 3.5 и выше
SCO
UnixWare 7, UnixWare 2.1*, OpenServer 5*
SGI IRIX
6.3 и выше
Sun
Solaris
1.0** (SunOS 4.1.4), 3.5.1 (SunOS 5.5.1), Intel Platform Edition
(SunOS 5.6) и выше
Клиенты SCO нуждаются модуле двоичной совместимости, чтобы работать в
UnixWare 2.1 и OpenServer 5, а Solaris нуждается в патче 100444-76.tar.Z для
OpenWindows.
Клиент Citrix MetaFrame для UNIX нуждается в X-Window и не может быть
запущен с командной строки.
Системные требования ко всем UNIX-системам, выполняющим клиента ICA,
следующие:



12MB свободного места на диске для установки
Установленный протокол TCP/IP
Видеоадаптер и монитор, поддерживающие 16 или 256 цветов.
Посетите сайт Citrix http://download.citrix.com и уточните, поддерживается ли
ваша операционная система. Инсталлция Red Hat Linux поставляется в виде RPMпакета.
Совет. Как и в Windows, имя машины UNIX должно быть уникальным. Имя клиента можно
установить, поместив строку `ClientName=' в раздел [WFClient] файла wfclient.INI
или appsrv.INI (или в оба). Если имя не указано, то принимается имя машины
(hostname).
Для установки клиента в текстовом режиме, выполните следующие шаги:
1.
2.
3.
4.
Зарегистрируйтесь под root.
Убедитесь, что у вас есть достаточно свободного места.
Загрузите подходящую версию клиента с веб-сайта Citrix.
Распакуйте загруженный архив командой gzip -d linux.tar.gz
(способ может слегка отличаться)
5. Распакуйте получившийся TAR-файл во временный каталог tar xvf linux.tar (имя файла может быть другим).
6. Запустите программу установки, введя ./setupwfc
7. Если установка не удалась, проверьте регистр букв.
8. Должно появиться меню, предлагающее вам Установить (Install),
Удалить (Remove) или Выйти (Quit).
9. Выберите 1 для выбора установки и нажмите Enter
10.У вас спросят - куда установить клиента. Нажмите Enter, чтобы
принять каталог по умолчанию /usr/lib/ICAClient, или введите
имя другого каталога.
11.Установка попросит у вас подтверждения. Нажмите "Y" и Enter для
начала процесса установки, или "N" для выхода.
12.Прочтите лицензионное соглашение и снова нажмите "Y" для
продолжения.
13.По завершении установки клиент будет интегрирован с браузером
Netscape (если он был установлен) и снова появится меню
установки. Введите 3 и Enter для выхода из программы.
Вот и все! Теперь можно настраивать клиента.
Запустите клиента командой /usr/lib/ICAClient/wfcmgr.
Установка клиента с использованием Red Hat Package Manager (RPM) является
более предпочтительной. RPM содержит много полезных функций, недоступных
в TAR-архивах. Пакеты RPM можно устанавливать как с командной строки, так и
из графической оболочки. RPM можно использовать для удаления, проверки,
модернизации установленных пакетов. Обсуждение RPM выходит за рамки
данной книги, но я настоятельно рекомендую изучить RPM - это очень полезное
средство.
Для установки пакета rpm выполните следующие шаги:
1. Зарегистрируйтесь под root
2. Запустите сеанс X-window (в системах Red Hat Linux дайте команду
startx).
3. Щелкните кнопку "Start" в нижнем левом углу, выберите "System",
"GnoRPM". Это откроет окно Gnome RPM:
4. Щелкните кнопку "Install". Это откроет окно установки.
5. Щелкните кнопку "Add". Это откроет новое окно "Add Packages".
6. Выберите каталог, в котором находится загруженный файл
linux.rpm
7. Выберите файл linux.rpm и щелкните кнопку "Add".
8. Вы увидите, что в окне "Install" добавится ICAClient-3.0-4 (номер
версии может быть другим).
9. Закройте окно "Add" и переведите фокус на окно "Install".
10.Переключатель слева от ICAClient-3.0-4 должен быть включен.
Щелкните кнопку "Install" внизу окна.
11.RPM должен начать копировать файлы.
12.Вот и все! Закройте окно "Install" и можете запустить клиента и
настроить его для соединения с вашими серверами. Запустите
клиента командой /usr/lib/ICAClient/wfcmgr
Совет Вы можете создать ярлык на рабочем столе Red Hat Linux для клиента
Metaframe. Для этого щелкните кнопку "Start", выберите "Panel", затем щелкните
"Add New Launcher". В свойствах укжите следующее:
Name: MetaFrame Client
Command: /usr/lib/ICAClient/wfcmgr
Type: Application
Щелкните OK для сохранения изменений. В панели задач должна появиться новая
иконка.
Автоматизированная установка клиентов
Опытные администраторы Metaframe всегда ищут способы повышения
эффективности администрирования и поддержки пользователей. Одним из
таких способов является автоматизированная установка клиентов
Metaframe. В предыдущих разделах мы уже обсуждали установку
клиентов. В следующих разделах мы обсудим настройку клиентов таким
образом, чтобы они эффективно работали в вашей среде.
В этой главе мы покажем, как создать предварительно настроенные
инсталляционные диски, которые будут содержать все опции,
необходимые для подключения к вашему серверу. Тогда пользователям
придется только выполнить шаги по установке, описанные выше, а
настройка всех сложных опций ложится на администратора. Многие
администраторы даже размещают предварительно настроенные
инсталляциии на веб-сайтах или FTP-сайтах.
Предупреждение
Используйте предварительно настроенную инсталляцию с осторожностью.
Установка в первый раз обычно не вызывает сложностей. Если
автоматизированная установка делается на системе с уже установленным и
настроенным клиентом metaframe, то предыдущие настройки могут быть
потеряны. Особенно это касается настроек прокси. Всегда заставляейте
пользователей проверять перед инсталляцией текущие настройки. Кроме того,
всегда настраивайте только самое необходимое. Вряд ли вы захотите получить
100 пользователей, пытающихся подключиться с именем и паролем
администратора, которые вы настроили в клиенте.
Для создания предварительно настроенной инсталляции выполните
следующее:
1. Прежде всего создайте обычные инсталляционные диски,
либо с помощью Client Creator, либо из загруженного с вебсайта Citrix файла.
2. Установите клиента как обычно, следуя ранее описанным
процедурам
3. Настройте параметры соединения, настроки и предпочтения,
которые вы хотите распространить среди клиентов.
4. После сохранения изменений, скопируйте на дискетту
следующие файлы, перезаписывая уже существующие:
5.
Module.INI
6.
Wfclient.INI
7.
Apsrv.INI
Эти файлы должны находится в каталоге C:\Program
Files\Citrix\ICA.
8. Теперь инсталляция не должна требовать вмешательства
пользователя.
По завершении этой процедуры вы можете распространять
предустановленные инсталляционные диски своим клиентам. Можно
также настроить сервер и клиента на Автоматическое Обновление с
помощью утилиты "Automatic Client Update" на сервере MetaFrame. Для
этого необходимо, чтобы клиент позволял автоматическое обновление. По
умолчанию эта установка включена, но нуждается в специальной
настройке сервера.
Создание базы данных клиентов
Если вы поддерживаете много клиентов, вы можете найти утилиту "Client
Auto Update" чрезвычайно полезной. Нужно лишь разобраться, как она
работает. Вот основные принципы ее работы:
o
Вы храните новые версии клиентов в центральной базе
данных на сервере Citrix.
o
o
o
o
При подключении клиента к серверу он сравнивает версию
клиента с хранящейся в базе данных, и в случае
необходимости обновления инициирует автоматическую
загрузку.
У вас есть полный контроль за обновлением каждого
клиента
Вы можете восстановить старую версию клиента в случае
программных ошибок, поврежденных файлов и т.д.
Auto Update работает на всех транспортных протоколах,
включая TCP/IP, IPX, NetBIOS, последовательные
соединения.
Тем не менее, существуют определенные ограничения:
o
o
Auto Update работает только с новыми версиями клиентов.
Версии 727 и выше должны работать правильно. Если
версия слишком старая, вам сначала следует выполнить
обновление вручную.
Auto Update может обновлять версии клиента только одного
типа. Например, можно обновить ICA Win32-bit Client 741 до
ICA Win32-bit Client 779. Но нельзя обновить 16-битного
клиента до 32-битного клиента.
Для профессионалов
Шаги, которые необходимо предпринять на сервере MetaFrame для
создания базы данных обновления:
16.Для входа в программу настройки базы данных,
щелкните кнопку Start|Programs|MetaFrame Tools|ICA
Client Update Config
17.Из меню "Database" выберите "New"
18.Введите полное имя базы данных. По умолчанию
создается файл DBConfig.INI в каталоге
\systemroot\Ica\Clientdb.
Для NT4 и MF1.8 это будет
C:\wtsrv\Ica\Clientdb\DBConfig.INI
Для Windows 2000 и MF1.8
C:\Winnt\Ica\Clientdb\DBConfig.INI
19.Если вы хотите настроить несколько серверов Citrix
для использования одной общей базы, поместите этот
файл на ресурс в сети с разделяемым доступом.
20.После того, как вы добавили базу данных, вы должны
добавить версии клиентов, которые будут
использоваться при автоматическом обновлении.
21.Из меню "Client" выберте "New"
22.Вы должны увидеть диалог "Description".
23.Выберите файл Update.INI, находящийся в каталоге
disk1 инсталляции клиента или вашей заранее
настроенной инсталляции, или введите полное имя
файла.
24.На экране отобразятся имя клиента, версия, продукт,
модель и иконка. Вы можете изменить комментарии.
Для продолжения щелкните "Next".
25.Должна появится закладка "Update Options". Здесь вы
должны выбрать режим обновления (спросить
пользователя, уведомить пользователя или
прозрачное обновление), сделать проверку версии
(только обновить старую версию клиента или
обновить любую версию клиента), сделать
принудительное отключение или запустить загрузку в
фоновом режиме, а также добавить собственное
сообщение, которое будет выводиться на клиентской
консоли.
26.Щелкните "Next" и вы предстанете перед закладкой
"Logging". Вы можете выбрать регистрацию в
журнале загруженных клиентов и регистрацию
ошибок. Включите по крайней мере регистрацию
ошибок.
27.Щелкните "Next", установите флажок "Enable Client",
чтобы обновлять до версии, хранящейся в вашей
базе данных. База данных может хранить несколько
версий одного и того же клиента, но только одну
версию для каждой модели. Когда вы разрешаете
одну версию, все остальные версии автоматически
запрещаются.
28.Щелкните Finish для завершения процесса настройки
автоматического обновления. Если хотите, щелкните
правой кнопкой мыши на клиенте и выберите
свойства. Теперь вы увидите дополнительную
закладку "Client Files". Это список имен файлов и их
размеров, которые автоматически будут загружены
клиенту.
29.Теперь вы можете откинуться на спинку кресла и
радоваться плодами вашего труда, когда множество
пользователей будут обновлять своих клиентов без
вашего участия.
Настройка клиентов Citrix Metaframe
В предыдущих разделах мы обсуждали выбор протоколов, загрузку
подходящего клиента и его установку на разных операционных системах.
В этом разделе мы начнем настраивать клиента. Вы увидите, что этот
процесс почти одинаков на всех операцмонных системах. Некоторые
клиенты могут не содержать всех доступных опций, но это
незначительное различие. 32-битный клиент для Window содержит все
опции.
Настройка клиентов UNIX
Клиенты UNIX имеют в основном такие же настройки, как клиенты Win32.
Если это ваша первая инсталляция, и вы проделали все
вышеперечисленные шаги по установке, у вас должен быть работающий
UNIX-клиент. В нашем примере мы будем использовать протокол TCP/IP,
поскольку он является наиболее распространенным и совместимым
проктоколом. Если вы используете другой протокол, измените эти
установки в соответствии с вашим окружениемю. Замените эти адреса
своими. При необходимости обратитесь к вашему сетевому
администратору.
Для начала использования клиента UNIX:
30.Зарегистрируйтесь в системе и запустите X-Window
31.Откройте командное окно и введите
/usr/lib/ICAClient/wfcmgr и нажмите Enter.
Или вы можете сделать так:
32.Нажмите кнопку Launcher, которую мы раньше создали
33.Должно появиться основное окно клиента UNIX.
34.Вы должны увидеть пять кнопок и два спускающихся меню.
35.Щелкните на меню "Entry", выберите "New".
Появится окно свойств нового соединения. По умолчанию
оно начинается с закладки "Network".
36.Введите имя для этого соединения. Это не обязательно
должно быть имя сервера, а просто название, которым вы
ссылаетесь на сервер или приложение.
37.Введите адрес IP или полностью квалифицированное имя
сервера (например, server1.foo.com), с которым вы
собираетесь соединяться.
38.Нажмите "OK". Вы сделали настроку клиента, необходимую
для подключения клиента к серверу Citrix MetaFrame server.
Другие опции в закладке "Network" позволяют указать имя пользователя,
домен и пароль.
Замечание
Когда пользователи сохраняют свои имена и пароли, они сохраняются в файле
appsrv.INI. Этот файл находится в скрытом каталоге ICA Client в домашнем
каталоге пользователя. Имя пользователя и домен хранятся в открытом виде, а
пароль - в зашифрованном. Однако, учитывая мощность современных
компьютеров и риск хакерства, это может создавать проблему для безопасности. Я
рекомендую никогда не сохранять пароли.
Закладка Connection
Здесь вы можете включить сжатие данных и кеширование изображений.
Сжатие по умолчанию включено; также рекомендуется включить
кеширование, но выключить звук. Для звука существует три опции.
High (высокий). Для использования этой опции необходима скорость сети
минимум 1.3 Mbps. Это может вызвать повышенное потребление ресурсов
процессора и перегрузку сети.
Medium (средний). Звук подается клиенту сжатым до 64 Kbps. Это
вызывает некотрое ухудшение качества звука, проигрываемого на
клиентском компьютере. Рекомендуется для локальных сетей.
Low (низкий). Рекомендуется для большинства модемных и других
низкоскоростных соединений. Звук сжимается до 16 Kbps. Это вызывает
значительное ухудшение его качества, но низкий поток данных
обеспечивает приемлимую производительность на медленных линиях
связи.
Я рекомендую полностью отключить звук при использовании модемного
соединения. Даже в локальной сети приходится учитывать пропускную
способность.
Закладка Window
Здесь вы можете настроить цвет, размер и вид виртуального рабочего
стола. Учтите, что в MetaFrame 1.8 количество цветов ограничено 256 (в
MetaFrame XP глубина цвета может достигать 24 бита - Прим.перев.).
Закладка Application
Отсюда вы можете запусать опубликованные приложения. Если вы
указываете здесь приложение, вы не будете видеть весь рабочий стол, а
соединение будет автоматически закрываться после выхода из
приложения. Укажите здесь полный путь к приложению, которое вы
хотите запустить сразу после подключения, а также рабочий каталог.
Эта опция доступна только при настройке профиля рабочего стола. Если
вы настраиваете профиль опубликованного приложения, закладка
"Application" будет недоступна.
Закладка Preferences
Доступ к следующему разделу выполняется из меню "Options" основного
окна. Щелкните на закладку "Settings" для открытия окна. Первое окно,
которое вы увидите, будет "Preferences" (Свойства). Это очень важное
окно - именно здесь вы можете задать возможность клиента получать
автоматические обновления от сервера. Это включено по умолчанию и
должно быть оставлено включенным.
Здесь же вы можете настроить раскладку клавиатуры, звуковые сигналы
Windows, отображение последовательных портов.
Закладка Server Location
Здесь вы настраиваете предпочительные серверы для соединения при
использовании опубликованных приложений. Введите адрес IP или
полностью квалифицированное имя сервера MetaFrame, и вы сможете
получить список опубоикованных приложений.
Закладка HotKeys
Следующие две закладки позволяют определять горячие клавиши. Здесь
вы можете настроить клавиши ALT-F1 .. ALT-F12. Эти комбинации клавиш
могут исползуются в X-Window. Если у вас есть приложение, которое
переназначает эти клавиши (например, WRQ Reflection), вы должны
установить эти горячие клавиши в "None"; в противном случае клиент
Citrix переопределит эти клавиши.
Закладка Disk Cache
На этой закладке вы можете установить размер и расположение дискового
кеша. Вы также можете указать минимальный размер кеша изображений.
Иногда для некоторых соединений помогает уменьшение размера кеша с
8KB до 4KB. Также на этой закладке вы можете очистить кеш. Чистку
кеша не рекомендуется делать при активном соединении.
Drive Mapping
Переназначение дисков - одна из ключевых особенностей MetaFrame. С
помощью переназначения дисков любой каталог, смонтированный на
клиенте UNIX, включая CD-ROM, доступны из сеансов ICA на сервере
MetaFrame. Пользователи могут иметь доступ к своим собственным
локальным файлам, работать с ними, сохранять их как локально, так и на
сервере в пределах одного сеанса ICA.
Просто выберите диски, которые вы хотите переназначить и укажите
желаемый уровень доступа.
Эта опция может контролироваться сервером, поэтому вы можете не иметь
доступа к функции переназначения дисков.
Завершив настройку профиля, щелкните "OK" для сохранения изменений,
затем вернитесь в основное окно и дважды щелкните на имени
созданного соединения для его запуска. Через несколько секунд вы
увидите знакомый экран. Поздравляем! Вы запустили Windows с вашей
UNIX-машины!.
Обзор настройки клиента Win32
Именно на настройку клиента Win32 мы потратили наибольшее
количество времени. Этот клиент содержит наибольшее количество опций
по сравнению с другими, поэтому любой клиент, не рассмотренный нами,
будет содержать рассматриваемые здесь опции.
При подключении к серверу MetaFrame, клиент Win32 предусматривает
дополнительные опции, обеспечивающие запуск приложений так, как
будто они были запущены с локального рабочего стола. Citrix постоянно
обновляет клиентов, поэтому чаще посещайте ее сайт в поиске свежей
информации.
ICA-клиент Win32 имеет следующие особенности:
o
o
o
o
o
o
o
o
o
o
o
o
o
Поддержка видео
Поддержка TAPI
Программное окружение (Program Neighborhood)
Переназначение устройств клиента
Поддержка звука
Цельные окна (Seamless windows)
Префиксы дозвона
Шифрование
Атоматическое обновление клиента
Интеграция с буфером обмена Windows
Возможность работы на медленных линиях связи
Кеширование и сжатие данных
Поддержка мыши с колесиком
Поддержка видео
VideoFrame совместно с MetaFrame 1.8 позволяет доставлять клиентам
Win32 видео. VideoFrame использует собственную компрессию и
потоковое видео, являющиеся расширением протокола ICA, и
обеспечивает производительность, сравнимую или даже лучше
аналогичных используемых в настоящее время методов. С этой
технологией даже модемные пользователи могут смотреть потоковое
видео. Она автоматически подстраивается под скорость соединения для
обеспечения максимально возможного качества.
Программное окружение (Program Neighborhood)
С помощью этой функции приложения на сервере могут быть
интегрированы с рабочим столом пользователя или даже помещены в
меню "Start".
Seamless Windows
Эта функция обеспечивает прозрачную интеграцию локальных и
удаленных приложений на локальном рабочем столе Windows 9x, Windows
NT4 или Windows 2000. Если вы в настройке выбрали опцию "Seamless
Windows", то пользователю не нужен доступ ко всему удаленному
рабочему столу для запуска приложения. Пользователь имеет полный
контроль над клавиатурой, может переключаться между локальным и
удаленным приложениями с помощью панели задач, определять иконки
для удаленных приложений на своем локальном рабочем столе. Это самая
мощная функция клиента Win32.
Интерграция с буфером обмена Windows
Пользователи могут использовать технологию "cut and paste" между
локальным приложением м удаленными приложениями ICA без
использования каких-либо специальных процедур.
Шифрование
Клдиенты Win32 поддерживают роасширенное шифрование RSA RC5
(правда, для этого необходимо расширение сервера и специальный
клиент). Теперь доступно шифрование с ключами 40-, 56- и 128 бит. Это
значительно повышает безопасность ICA-соединений. Если вы озабочены
повышенной защитой, обратите внимание на SecureICA
www.citrix.com/products/sica
Настройка клиента Win32
52.Щелкните иконку "Citrix Program Neighborhood" или
выберите из меню Start | Programs | Citrix ICA Client | Citrix
Program Neighborhood. После этого запустится основное
окно клиента.
53.Дважды щелкните на икноку "Add ICA Connection".
54.Появится окно, в котором вы должны выбрать тип
соединения:
55.Для нашего соединения мы выбираем "LAN", т.к. это самый
общий случай. (Это также подходит для модемных
соединений через сервер RAS или провайдера Интернет)
56.В следующем окне укажите наименование соединения,
протокол и сервер, или опубликованное приложение. Вы
можете назвать соединение как угодно, не обязательно оно
должно совпадать с именем сервера. В качестве протокола
мы выберем TCP/IP. В поле имени сервера введите либо IPадрес, либо полностью квалифицированное доменное имя
(FQDN) сервера. В нашем примере мы ввели
terminator.foo.com:
Если сервер находится в одном с вами сегменте сети, то
можно просто щелкнуть мышкой по стрелке и выбрать
сервер из меню.
57.Нажмите "Next" и вы попадете в диалог, в котором вы
можете указать прокси-сервер, если это необходимо.
Прокси-серверы обычно используются для выхода
корпоративных пользователей в Интернет. Если вы
подключаетесь к удаленному серверу MetaFrame через
Интернет, вам может понадобиться эта настройка. Для
этого, возможно, потребуется указать нужные порты
"Socks". Обратитесь за помощью к вашему администратору
сети.
58.В следующем окне укажите имя пользователя, пароль и
домен. Если вы их не заполните, эти значения будут
запрошены во время подключения к серверу.
59.Щелкните "Next" и в следующем окне укажите желаемое
разрешение и глбину цвета. Если вы не знаете, что
указывать, оставьте значения по умолчанию. MetaFrame 1.8
поддерживает не более 256 цветов. MetaFrame XP
поддерживает 16 млн. цветов.
60.Щелкните "Next" и в следующем окне вы можете указать имя
приложения и рабочий каталог. Не заполняйте эти поля,
если хотите работать с виртуальным рабочим столом.
61.Нажмите "Finish" для завершения установки соединения.
Иконка с новым соединением должна появиться в основном
окне. Для подключения дважды щелкните на ней.
Совет
Для использования доменного имени в качества имени сервера, у вас должен быть
работающий и правильно настроенный сервер DNS. Если вы не можете
использовать DNS, то отредактируйте файл
C:\winnt\system32\drivers\etc\hosts на клиентской машине Windows NT
(для Windows 9x это файл C:\windows\hosts).
Если теперь мы вернемся в основное окно клиента и кликнем стрелку
вверх, то увидим две разные иконки - "Custom ICA Connections" (содержит
только что созданное нами соединение) и "Find New Application Set".
Дважды щелкнем на "Find New Application Set" и начнем процесс
подключения к опубликованным приложениям.
62.После запуска "New Application Set" появится новое окно, в
котором вы должны выбрать тип соединения. На этот раз
выберем WAN (глобальная сеть).
63.В появившемся диалоге введите описание набора
приложений.
64.Если в диалоге спиок приложений пуст, это означает, что
клиент не может получить его от сервера. Обычно это
вызвано тем, что сервер находится в другом сегменте сети.
Чтобы заставить клиента получить список приложений,
щелкните кнопку "Server Location" и введите адрес IP
сервера или его доменное имя. Причем вы можете указать
адреса основного (Primary) и Резервного (Backup) серверов.
65.После указания адреса основного сервера, вы должны
увидеть раскрывающийся список опубликованных
приложений.
66.В следующем окне вы можете установить разнообразные
опции для набора приложений - звук, цвета, размер окна.
Причем в новых клиентах Win32 помимо опции стандартного
разрешения можно указать: процент от размера окна,
полный экран, цельное окно.
67.Теперь все готово к подключению к опубликованным
приложениям.
Настройка ICA
Теперь обсудим более подробно вопросы настройки приложений. Сначала
из основного меню вызовем меню Tools | ICA Settings.
На закладке General все самые важные настройки выведены в верхней
части. Второй важный блок находится внизу - разрешение
автоматического обновления (по умолчанию включено). Я советую не
менять этой настройки. Остальное не очень важно. Поле серийного
номера используется только продуктом типа WinFrame, требующим
наличия у клиента серийного номера Citrix PC Client Pack. Раскладку
клавиатуры также можно оставить без изменения, если только вы не
используете язык, отличный от английского.
Следующая закладка - Bitmap Cache. Здесь вы можете настроить размер
дискового кеша, указать каталог, указать минимальный размер
кешируемого изображения. Можно получить некоторое повышение
производительности, уменьшив значение (по умолчанию 8КВ). Это
зависит от вашей системы. Вам также доступна кнопка для очистки кеша.
Перед очисткой кеша рекомендуется закрыть все активные соединения.
На следующей закладке, HotKeys, мы видим карту переназначений
клавиш. В зависимости от приложения и клиента, вам может
потребоваться запретить все или некоторые настройки, установив
значение "None".
На последней закладке, Events, вы можете установить параметры
журнализации событий.
Эти настройки используются в повседневном конфигурировании клиента.
Для более подробной информации обратитесь к Руководству
Администратора Клиента Citrix (Citrix Client Administrator Guide),
доступному на веб-сайте компании Citrix.
Переназначение устройств
Переназначение дисков
Клиент Win32 ICA среди множества услуг предоставляет возможность
переназначать устройства сервера на локальные устройства. Примером
тому является переназначение дисков. Это позволяет буквам дисков
сервера быть переназначенными на драйвы локального компьютера.
Например, диск J: на сервере MetaFrame в сеансе пользователя будет
означать диск C: локального компьютера клиента. По умолчанию буквы,
назначаемые дискам клиента начинаются с V: и отсчитываются назад,
присваивая буквы каждому жесткому диску и CD-ROM. Дисководам гибких
дисков присваиваются их существующие буквы.
Опытные администраторы обычно меняют имена дисков сервера на M:, N:
и т.д. Этот метод позволяет клиентам получать доступ к собственным
драйвам C: и D: непосредственно из сеанса ICA без необходимости
запоминать сложную схему переименования. Кроме того, это смущает
неподготовленных пользователей, привыкших к C: и D:. Постоянная
смена имен дисков часто приводит к проблемам.
Автосоздание принтеров
Клиент Win32 ICA также поддерживает автосоздание принтеров. Это
означает, что пользователи обнаруживают после соединения свои
принтеры уже подключенными и готовыми к печати. Клиентские принтеры
автоматически подключаются при регистрации пользователя и удаляются
после его выхода (logoff), если не содержат заданий на печать. Если
существуют задания на печать, принтер и задания сохраняются.
Если пользователи не хотят, чтобы принтеры удалялись после выхода, это
можно настроить. Используйте Print Manager в сессии ICA для получения
окна свойств Properties принтера клиента. В поле "Comment" измените
или удалите строку "Auto Created Client Printer". Тогда этот принтер не
будет обнаружен при выходе пользователя.
Переназначение аудио
Переназначение аудио позволяет удаленным приложениям проигрывать
звук на клиентской машине при наличии на ней звуковой карты. Это
может быть включено или выключено как на стороне сервера, так и на
стороне клиента. Если настройки разные, принимается наименьшее.
Настроек и их возможных значений настолько много, что для их полного
описания не хватит и книги, не то что главы. С каждой новой версией
сервера и клиента появляются новые опции. Большинство из них можно
отредактировать непосредственно в файле Appsrv.INI. Подробное его
описание вы найдете в Приложении А.
Устранение проблем при подключении клиента
Большинство проблем с подключением связаны с сетью. Здесь мы
привели список основных вопросов, на которые вы должны ответить, если
клиент не может подключиться.
68.Работает ли сервер? Конечно, это кажется странным, но
иногда серверы или их компоненты зависают. Убедитесь,
что к серверу вообще возможно подключиться.
69.Может ли вообще клиент подключиться к серверу? Это
поможет выяснить, связана ли проблема с новой
настройкой, временная ошибка или ошибка в
конфигурации.
70.Имеет ли клиент соответствующую версию? Многие
администраторы отказывают старым клиентам в
подключении.
71.Клиент находится в той же сети, что и сервер, или он
удаленный? Нет ли сбоя в сети? Возможно, что-то случилось
с маршрутизатором или с каналом в глобальную сеть.
72.Может ли клиент подключиться к какому-нибудь другому
серверу MetaFrame? Если может, то где находится этот
сервер - в локальной сети клиента или в удаленной сети?
73.Может еще кто-то из клиентской сети подключиться к
серверу? Если да, то это связано с проблемой на машине
клиента, а не с сетью или маршрутизацией.
74.Может ли клиент сделать ping или подключиться к другой
машине с использованием выбранного протокола?
Возможно, на клиенте неверно настроена сетевая карта.
75.Может ли клиент сделать ping сервера? Это не всегда
является индикатором, поскольку многие маршрутизаторы и
пакетные фильтры блокируют ping и иной траффик ICMP. Но
в любом случае стоит попробовать.
76.Может ли клиент разрешить доменные имена (FQDN)? Если
при подключении клиент использует FQDN, убедитесь, что
он может разрешить имя. Проверьте его настройку DNS,
попробуйте указать вместо имени IP-адрес.
77.Может ли клиент сделать Telnet на сервер? Это лучший
индикатор по сравнению с ping. Клиенту следует открыть
окно сеанса DOS и дать команду telnet 10.10.10.10 1494
(замените 10.10.10.10 настоящим IP-адресом сервера). Нет,
для этого сервер MetaFrame не нуждается в демоне Telnet.
Это просто заставляет клиента попытаться соединиться по
TCP-соединению на порт 1494 (порт ICA по умолчанию). В
случае успешного соединения на экране появится пара
маленьких квадратиков, слово "ICA," потом снова два
квадратика и так далее. Это наиболее распространенный
метод проверки маршрутизаторов и межсетевых экранов,
чтобы они пропускали траффик ICA. Многие сети клиентов
настроены на пропускание траффика HTTP через проксисерверы, подразумевая, что клиент ICA тоже пройдет через
прокси. Это не так. Прокси-серверы должны быть
специально настроены, чтобы пропускать траффик ICA
сквозь себя; иногда для этого необходима установка на
клиенте специального программного обеспечения.
78.Открыты ли необходимые порты на межсетевом экране или
сетевых фильтрах? Клиенты MetaFrame используют порт
1494 TCP для связи с сервером, а затем, после переговоров
о новом номере, используют порты с номерами 1023 и
выше. MetaFrame также использует порт 1604 UDP для
поиска опубликованных приложений. Если вы
подключаетесь к опубликованному приложению или к server
farms, этот порт должен быть открыт. При использовании
NFuse порт 1604 UDP не нужен. Клиент Microsoft RDP
использует порт 3389 TCP вместо 1494; при использовании
клиента RDP этот порт должен быть открыт.
79.Если вы пытаетесь подключиться к опубликованному
приложению или server farm, может ли клиент сделать
подключение к рабочему столу? Если да, это может означать
проблему в настройках клиента или проблему с портом
1604.
Ответы на многие вопросы вы можете найти на
Citrix.
Итоги
веб-сайте компании
В этой главе мы осветили некоторые аспекты подключения клиентов
MetaFrame, такие как выбор протоколов, выбор и установка нужного
программного обеспечения. Мы описали преимущества клиента ICA. Мы
обсудили настройку и обновление программного обеспечения клиента. Мы
провели вас через общую методику поиска неисправностей. Надеюсь, эта
глава даст вам ответы на некоторые вопросы и поможет вам в
планировании размещения серверов Citrix.
После всего этого вы можете спросить "Что дальше?". Ну, если этого
недостаточно, Citrix выпустила новый продукт - MetaFrame 1.8 Feature
Release 1 (FR1). Он добавил много новых возможностей и технологий.
Улучшено подключение через браузер на основе технологии NFuse 1.5. В
новом сервере Citrix Extranet 2.0 вы можете использовать
аутентификацию на основе сертификатов SSL и плстиковых карт (Smart
Card), использовать технологию VPN локальной, глобальной сетях и в
Интернет. Extranet 2.0 совмещает использование шифрования с открытым
ключом и 168-битовое шифрование 3DES при использовании стандартных
портов 443, 80 и 3845. Подробности смотрите по адресу
www.citrix.com/products/fr1/default.asp.
Наиболее важные функции, реализованные в FR1, следующие:
o
o
o
o
o
o
SpeedScreen 3. Улучшения, сделанные в SpeedScreen 3 по
сравнению с версией 2 позволили уменьшить время
ожидания. Кроме того, они также уменьшили нагрузку на
сеть, что очень важно для модемных соединений.
Прогнозирование ввода. Этот компонент технологии
SpeedScreen 3 устраняет задержку после ввода символа
перед выводом его на экран. Пользователь получает
немедленный ответ на вводимые данные, пока обмен
данными с сервером еще только продолжается. Это решает
одну из самых распространенных проблем с модемными
пользователяи, жалующихся на долгое время отклика.
Прогнозирование мыши. Как и в случае с вводом текста,
пользователи жаловались на отсутствие или задержку
реакции на щелчки мышью на иконках. Если приложению
требуется много времени для загрузки, пользователь часто
щелкал по иконке несколько раз, чтобы убедиться что все
работает, и тем самым запуская несколько копий
приложения. Теперь курсор мыши меняет свою форму,
указывая на незаконченное действие.
ICA Browsing по протоколу TCP Теперь для обнаружения
опубликованных приложений UDP больше не нужен. Это
решает множетсво проблем с межсетевыми экранами,
блокирущими UDP-пакеты.
Установка Web-клиента. Теперь пользователи могут
автоматически устанавливать клиента MetaFrame просто
подключившись своим браузером к серверу Citrix NFuse.
Большая глубина цвета. Мультимедия и графические
приложения теперь могут использовать high-color (65,000
цветов) and true-color (16 миллионов цветов).
o
o
Панорамирование и масштабирование. Пользователи
карманных компьютеров теперь могут видеть рабочий стол
через лупу, а также сжимать размер окна приложения до
размеров своего дисплея.
Сквозная аутентификация и 128-битное шифрование.
Сквозная аутентификация позволяет рабочим станциям
автоматически передавать пароль пользователя локального
рабочего стола на сервер. Это позволяет поддерживать
прозрачные соединения без необходимости в
дополнительной регистрации. 128-битное шифрование,
бывшее ранее дорогостоящим добавлением, стало
стандартным компонентом MetaFrame. Это большое
улучшение по сравнению со старым алгоритмом XOR
Из полезных нововведений следует отметить поддержку нескольких
мониторов и сохранение пооложения программы приложения, когда
клиент "запоминает" предыдущие положение и размер окна.
Все это является частью стратегии доставки нового продукта ("New
Product Delivery Strategy"), при которой Citrix обещает новым покупателям
новую будущую версию (Feature Release) два или три раза в год, а новую
платформу (Platform Release) раз в 18-24 месяцев.
Глава 7: Установка терминальных служб
Перед установкой Citrix MetaFrame в первую очередь вам необходимо установить
компонент Windows 2000 Terminal Services. Хотя терминальные службы являются
интегрированным компонентом операционной системы Windows 2000, по
умолчанию они не устанавливаются.
Перед установкой ознакомьтесь со всеми типами адаптеров в компьютере,
обратитесь к Списку совместимости оборудования. Проверьте типы и количество
лицензий, разбиение диска на разделы, соберите необходимую информацию о
сети (адреса IP, маски подсетей, информацию о WINS/DNS).
Обратите внимание, что лицензирование терминальных служб работает только с
терминальными лицензиями. Оно не работает и не замещает другие службы
лицензирования Windows.
Компоненты Windows 2000 Terminal Services
Терминальные службы состоят из пяти интегрированных компонентов.
Многопользовательское ядро является фундаментальным компонентом, который
работает с аппаратурой сервера. Протокол RDP является коммуникационным
компонентом терминальных служб. Лицензирование разрешает клиентам
подключаться к серверу. Клиент предоставляет пользователю досутп к серверу.
Средства администрирования позволяют администраторам осуществлять
управление сервером.
Многопользовательское ядро
Расширение ядра для терминального сервера полностью интегрировано в
семейство ядер Windows 2000. Даже если терминальный сервер не установлен
на сервере Windows 2000, эти расширения все равно присутствуют.
Remote Desktop Protocol (RDP)
Этот протокол можно настроить на любой тип сети; он позволяет локализацию,
автоматическое отключение, удаленную кинфигурацию. RDP поддерживает три
уровня конфигурации. Этот протокол идеален для тонкого клиента.
Клиент терминальных служб
Это программа, устанавливаемая на компьютер пльзователя, предоставляет
пользователю стандартный GUI. Это относительно небольшое приложение. Оно
поддерживает соединение, передает назжатия клавиш на сервер и отображает
изменения экрана.
Средства администрирования
Они включают в себя утилиты Менеджер терминальных лицензий, Создатель
клиентов, Конфигуратор клиента, Менеджер терминального сервера.
Шифрование
Терминальные службы предоставляют три уровня шифрования- 40-бит, 56-бит и
128-бит. Вы можете использовать 128 бит, или "сильное шифрование,", только в
США и Канаде. 14 января 2000 правительство США приняло закон,
разрешающий продажу за границу продуктов с "сильным шифрованием". Ранее
разрешалось продавать только 40- и 56-битные продукты. Подробнее смотрите
на сайте www.microsoft.com/exporting. Пакет шифрования можно загрузить с
www.windowsupdate.microsoft.com.
Режим удаленного администрирования
Microsoft Windows 2000 Terminal Services может работать в двух разных режимах
- в режиме удаленного администрирования и в режиме сервера приложений.
Режим удаленного администрирования (Remote Administration Mode) позволяет
администратору получать удаленный доступ к серверу Windows 2000.
Администратор имеет полный доступ к любым средствам администрирования, как
будто он работал локально. Он может подключаться по протоколу TCP/IP через
LAN, WAN, модем. А при использовании Citrix MetaFrame 1.8, администратор
может управлять кластерами, деревьями и доменами Windows 2000 и NT с
любого компьютера, имеющего MS-DOS, Windows 95, Windows 98, Windows NT и
даже не-Windows операционные системы. В режиме удаленного
вдминистрирования отключаются средства совместимости приложений и
функции лицензирования клиентов. В результате процессор и память не
задействуются. По вопросам использования процессора обратитесь к Microsoft.
Преимущества в малом использовании процессора можно использовать,
установив терминальные службы на дополнительные серверы вашей сети,
выполняющие критические функции - например, серверы баз данных, вебсерверы, файловые серверы, RAS и т.п. Однако, количество одновременных
соединений ограничено двумя. Для повышенной безопасности подключаться
могут только системные администраторы. Это предотвращает случайный (или
преднамеренный) доступ к серверу и возможные атаки. Только два
адинистратора одновременно могут удаленно зарегистрироваться на сервере.
Одновременные пользователи в режиме удаленного администрирования не
допускаются.
В режиме удаленного управления администратор может удаленно выполнять
следующие задачи:






Использовать один сеанс совместно с другим администратором,
установив две теневых сессии.
Осуществлять обновления, перезагрузку, управление
контроллером домена.
Осуществлять установку и запуск приложений.
Осуществлять доступ к локальным дискам.
Осуществлять доступ к серверу по медленным каналам даже при
использовании 128-битного шифрования
Использовать все преимущетсва RDP, включая поддержку
локального принтера, переназначение буфера обмена, поддержку
виртуальных каналов.
Для удаленного администрирования установите Terminal Services Remote
Administration:
1. В Панели Управления дважды щелкните иконку Add/Remove
Programs.
2. Щелкните Add/Remove Components и запустите мастера установки
компонентов.
3. Найдите в списке Terminal Services и выберите его.
4. Щелкните Details для вывода списка компонентов Terminal Services.
5. Отметьте два пункта - Client Creator Files и Enable Terminal Services
6. Щелкните OK для возврата в окно компонентов.
Щелкните Next
7. Выберите Remote Administration Mode и щелкните Next (возможно,
вам потребуется вставить CD).
8. По завершении копирования щелкните Finish.
9. Закройте окно Add/Remove Programs.
10.Перезагрузите компьютер
Режим сервера приложений
Если терминальные службы работают в режиме сервера приложений,
пользователи могут запрашивать приложения с сервера через сеть, а сервер
выполняет все вычисления. Поскольку Windows 2000 поддерживает
многопользовательскую архитектуру, приложения на сервере позволяют
централизованное администрирование. Например, все пользователи могу
работать с одной и той же версией приложения. Еще одним преимуществом этой
архитектуры является лекость применения программных заплат, обновлений.
Вам следует позаботиться об обновлении программы только на сервере, а не на
многочисленных рабочих станциях.
Вы можете установить терминальные службы на нескольких серверах, если
желаете, чтобы разные серверы поддерживали разные приложения. Перед
установкой терминальных служб удалите все существующие приложения. Не
устанавливайте сервер приложений на контроллер домена. Кроме того, Microsoft
не рекомендует устанавливать сервер приложений на серверы, выполняющие
важные функции (DNS, WINS, файл- и принт-серверы, SQL, Exchange, Internet
Information Service.)
Для установки терминальных служб в режиме сервера приложений, выполните
следующие шаги:
1. В Панели Управления дважды щелкните иконку Add/Remove
Programs
2. Щелкните Add/Remove Components для запуска мастера установки
компонентов.
3. Выберите из списка Terminal Services
4. Щелкните Details для вывода списка компонентов Terminal Services.
5. Отметьте два пункта - Client Creator Files и Enable Terminal Services
6. Щелкните OK для возврата в окно компонентов.
Щелкните Next
7. Выберите Application Server Mode и щелкните Next (возможно, вам
потребуется вставить CD).
8. На следующем экране, Terminal Services Licensing, выберите Your
Entire Enterprise (вся организация) или Your Domain or Workgroup
(ваш домен или рабочая группа). Оставьте включенной опцию
Install License Server Database at the Location (установит базу
данных сервера лицензий). Выберите "Enterprise", если
терминальные службы будут использоваться во всей сети.
Выберите "Domain or Workgroup", если терминалы будет
использовать только конкретная группа.
9. По завершении копирования щелкните Finish.
10.Закройте окно Add/Remove Programs.
11.Перезагрузите компьютер
Проверка конфигурации
Установка пилотной системы
Как всегда, установите тестовую систему и тщательно ее проверьте, перед
вводом сервера в окончательную эксплуатацию.
Установка
Перед установкой терминальных служб сделайте следующие приготовления:




Аппаратные компоненты: Составьте список всех адаптеров в
вашей системе, включая SCSI, RAID, сетевые карты. Убедитесь, что
у вас есть необходимые драйверы.
Клиентские лицензии (CAL): Определите, какие типы лицензий
вам необходимы и в каком количестве.
Драйвы: Составьте план конфигурации ваших локальных дисков и
их разделов.
Сеть: Запишите конфигурацию сети, все адреса IP и сетевые
маски, адреса WINS/DNS.
Внимание
Лучше всего устанавливать службы терминалов на отдельный раздел жесткого диска - это
поможет внедрять разнообразные методы защиты информации. Не следует
форматировать разделы, предназначенные для терминальных служб, под FAT. Также по
соображениям безопасности вам следует устанавливать Windows 2000 на другой раздел,
отдельно от приложений. Используя файловую систему NTFS, вы обеспечите достаточную
защищенность системы. При выборе системы лицензирования, в режиме сервера
приложений доступна только опция "per-seat" (по месту). Кроме того, вы можете выбрать
установку только самых необходимых компонентов Windows 2000, а остальные
установить позже, по мере надобности.
Рекомендации по выборе компонентов при установке Windows 2000
Компонент
Включение/отключение
Accessories & Отключите Communications,
Utilities
Multimedia, Wallpaper
Причины
Эти компоненты не
являются
необходимыми, лишь
занимают место
Sertificate
Services
Отключите
Это компоненты для
IIS и не требуются
для терминальных
служб
Cluster
Service
Отключите
Эта служба позволяет
создавать
отказоустойчивые
кластеры
Internet
Information
Services
(IIS)
Отключите
Компонент для
создания WWW- и
FTP-серверов. Не
обязателен для
терминальных служб
Indexing
Service
Отключите
Компонент для IIS
Management
and
Monitoring
Tools
Отключите компоненты
Connection Management,
включите Network Monitoring.
Если вам не нужен SNMP, то
отключите и эту опцию
Эти опции занимают
много места. Вы
можете при
необходимости
установить их позже
Message
Queuing
Service
Отключите
Установки службы
Message Queuing
позволяет размещать
очереди в кластере
Networking
Services
Отключите
Ничего из этого не
должно работать с
терминальными
службами
Other
Network and
File Print
Services
Отключите
Этото компонент
предназначен в
основном для
файловых серверов и
серверов печати, а не
для терминальных
служб
Remote
Installation
Services
Отключите
Этот компонент также
занимает лишнее
место. Однако, он
позволяет
устанавливать
Windows 2000
Professional на
удаленных
компьютерах.
Script
Debugger
Windows Scripting Host
Позволяет выявить
проблемы в скриптах
Windows
Terminal
Services
Licensing
Отключите
Используйте эту
опцию для настройки
сервера лицензий на
другом сервере
Windows
Media
Services
Отключите
Она вам не нужна,
если вы не
собираетесь выдавать
клиентам потоковое
видео
Следующая процедура поможет установить терминальные службы Windows 2000
на чистую машину.
1. Установите загрузочную дискетту "Windows 2000 Server" или
"Advanced Server" в дисковод A: и включите сервер.
2. Немедленно после появления синего экрана вы можете нажать F6,
если у в вам необходимо установить специфичные драйверы
контроллеров SCSI или RAID.
3. Вставьте дискетты 2, 3 и 4 для загрузки драйверов ядра.
4. Когда появится окно "Windows 2000 Server Welcome to Setup",
нажмите Enter для продолжения установки.
5. Вставьте компакт-диск с Windows 2000 и нажмите Enter.
6. Прочтите лицензионное соглашение. Если вы его принимаете,
нажмите F8
7. На следующем экране вам будет предложено сконфигурировать
загрузочный раздел. Вы можете завершить эту работу после
установки через консоль Computer Management.
8. После создания системного раздела, подсветите этот драйв и
нажмите Enter. Далее вам следует отформтировать его либо в FAT,
либо в NTFS.
9. Компьютер перезагрузится.
10.После перезагрузки Windows 2000 начнет определять устройства
plug-and-play. На этом этапе устанавливаются необходимые
драйверы для аппаратных компонентов системы.
11.Далее программа установки открывает окно региональных
настроек. Здесь вы можете указать специфичные настройки для
вашего региона, например, формат числа, символ валюты, время,
формат даты.
12.В следующем окне укажите ваше имя и название организации. По
завершении ввода щелкните "Next".
13.Далее введите правильный ключ продукта сервера Windows 2000.
Он находится на задней стороне коробки с CD. Щелкните "Next".
14.Выберите тип лицензии (CAL). Это лицензия не для клиентов, а
лицензия Microsoft. Если ее пока нет, вы можете использовать
терминальные службы бесплатно в течении 90 дней. Доступны
только лицензии типа "на место" (per-seat). Выберите per-seat и
щелкните "Next".
15.На следующем экране введите имя сервера и пароль локального
администратора. Щелкните "Next".
16.Вы увидите окно выбора компонентов Windows 2000. Выбрав
необходимые, щелкните "Next".
17.В следующем окне подтвердите дату, время и временную зону.
Щелкните "Next".
18.Следующее окно предназначено для настройки терминальных
служб. Здесь вы можете выбрать один из режимов - режим
удаленного администрирования или режим сервера приложений.
19.Появится окно настройки сети и вы можете выбрать Typical или
Custom. Выберите Typical, если хотите использовать DHCP для
адресации TCP/IP, клиента для сети Microsoft, и совместное
использование файлов и печати. Если вы хотите изменить эти
опции, выберите Custom. Здесь вы можете ввести статический
адрес IP.
20.Если вы выбрали Custom, вы увидите другое окно, в котором
можете просмотреть и изменить свойства сетевых компонентов,
которые будут установлены.
21.Укажите, будет ли компьютер являться членом домена или рабочей
группы.
22.Затем программа установки выполнит окончательную
конфигурацию.
Сравните стоимость модернизации 100 пользователей Windows 2000 Professional
со стоимостью платформы на базе терминальных служб:
Компонент
Сеть из 100 ПК
Сеть из тонких
клиентов
Компьютеры
100 ПК и один
сервер
Два сервера (плюс
100 клиентов)
Число процессоров
102 PIII
(минимум 300
Мгц)
8 PIII (850 Мгц)
Число обновляемых процессоров
102
8
Рабочая память
128Мб на каждый 1Гб на каждый
ПК
сервер
Всего памяти
13,056 Мб
2000 Мб
Жетские диски
6Гб на каждый
ПК
12Гб RAID на
каждый сервер
Всего дисковой памяти
612Гб
26Гб
Стоимость Windows 2000 Professional
или терминальных лицензий
$31,900
$10,680
Число лицензий Microsoft
100
100
Число копий Microsoft Office
100
2 (по 1 на сервер)
Сколько мест надо посетить для
обновления
100
1
Время модернизации или активирования
90 минут
на ПК или терминале
10 минут
Время, требуемое для внедрения
рабочего стола Windows 2000
19 дней
2 дня
Число пользователей, получающих
доступ к ПО операционной системы
100
0
Окончательная настройка
Одним из важнейших компонентов терминальных служб Windows 2000 являетсяэ
протокол RDP. Он работает аналогично протоколу Citrix ICA и обеспечивает
передачу данных небольшими пакетами, требуя невысокой пропускной
способности - около 20 Kbps. Microsoft включила в версию RDP для Windows
2000 ряд значительных улучшений:
Поддержка локальных принтеров
Теперь администраторы могут подключать локальные принтеры рабочих
станций.
Roaming Disconnect
Эта функция позволяет пользователю отключиться от сеанса без выхода из
системы, пересесть на другую машину и продолжить ту же самую свою работу.
Улучшенная производительность
Пользователи могут почувствовать значительное улучшение производительности
сервера вследствие постоянного кеширования, использования пакетов и размера
фрайма. Кеширование заключается в записи данных во временное хранилище
(локальная временная память или часть жесткого диска). Тогда процессор может
быстрее пересылать данные пользователю.
Поддержка множественных регистраций
Пользователь может одновременно зарегистрироваться на нескольких серверах
под одним и тем же именем.
Переназначение буфера обмена
Пользователи могут делать копирование и вставку между приложениями,
работающими локально, и приложениями, работаюшими на сервере. Эта
функция по умолчанию включена. Однако, это создает некоторую брешь в
безопасности. Для отключения можно воспользоваться двумя способами.
Чтобы прекратить совместное использование локальной страницы ClipBook,
сделайте следующее:


В локальном окне ClipBook щелкните на странице, совместное
использование которой вы хотите прекратить.
Из меню File выбрерите Stop Sharing
Повторите следующие шаги для удаления группы или пользователя из списка
разрешений для ClipBook. Вы должны быть владельцем страницы.



В локальном окне ClipBook щелкните на странице, совместное
использование которой вы хотите прекратить.
Из меню Security выберите Permissions
В списке Name щелкните на имени группы или пользователя, затем
щелкните Remove.
Для удаления аудита страницы ClipBook для группы или пользователя,
зарегистрируйтесь под администратором и сделайте следующее:



В локальном окне ClipBook щелкните на странице, аудит которой
вы хотите прекратить.
Из меню Security выберите Auditing
Из списка Name щелкните на имени группы или пользователя, а
затем щелкните Remove
Защита Securing ClipBook Pages
Вы можете установить следубщие уровни доступа к индивидуальным страницам
ClipBook с совместным использованием:





No Access
Read
Read and Link
Change
Full Control
Отдельные права доступа кумулятивны. Например, если некий пользователь
является членом нескоьких групп, а каждая группа имеет разные права на одну
и ту же страницу ClipBook, то будут ему будут доступны все права. Исключением
является уровень No Access, которое переопределяет все остальные привилегии.
Для установки сервера Windows 2000 вы должны следовать рекомендациям
Microsoft. Убедитесь, что сервер удовлетворяет следующим требованиям:



Pentium-совместимый процессор 133MHz или выше
Минимум 256MB RAM (максимум 4GB)
Жесткий диск 2.0GB и минимум 1.0GB свободного места на нем.
Windows 2000 Server поддерживает до 4 процессоров на одной машине.
Windows 2000 Advanced Server предъявляет следующие требования:




Pentium-совместимый процессор 133MHz или выше
Минимум 256MB RAM (максимум 8GB).
Жесткий диск 2.0GB и минимум 1.0GB свободного места.
Windows 2000 Advanced Server поддерживает до восьми
процессоров на одной машине.
Лицензирование терминальных служб
Вы можете содержать Windows 2000 Server и службу лицензирования на одной
машине. Если у вас в сети есть несколько терминальных серверов,
сконфигурируйте другой сервер Windows 2000 в качестве сервера лицензий.
Компоненты лицензирования
Следующая процедура описывает порядок установки Компонента
Лицензирования в Windows 2000. После ее завершения вы можете выпускать в
сети лицензии.
1. Откройте панель управления, щелкните иконку Add/Remove
Programs, затем щелкните Add/Remove Windows Components.
2. Выберте из списка Terminal Services Licensing и щелкните "Next".
3. Затем укажите режим работы. Выберите Application Server Mode
(установка по умолчанию) и щелкните "Next".
4. В окне настройки лицензирования терминальных служб укажите,
должна ли лицензия относиться ко всему придприятию (
Enterprise), или к домену или рабочей группе. Выберите
размещение базы данных лицензий и щелкните "Next".
5. Вставьте CD с Windows 2000 Server или выберите расположение
системных файлов.
6. Когда появится окно "Finish Setup", щелкните "Finish"
7. Компьютер можно не перезагружать
Активирование Сервера лицензирования терминальных служб
Помните, у вас есть 90 дней для активирования сервера лицензий после
установки терминальных служб. В течении этого срока каждому клиенту,
отличного от Windows 2000, выдается временная лицензия (TS CAL). Она
разрешает доступ в течении 90 дней, а потом заменяется постоянной лицензией.
1. Запустите программу лицензирования, щелкнув "Start", выбрав
Programs, Administrative Tools, Terminal Services Licensing
2. Появится Мастер лицензирования. Щелкните "Next".
3. Выберите метод подключения. Если ваш компьютер стоит за
межсетевым экраном (firewall), у вас может не получиться
воспользоваться Интернет.
4. Следуйте указаниям Мастера.
После активирования сервера лицензий программа установки автоматически
запустит процесс получения лицензий. Это может быть сделано через Интернет,
Веб, телефон, факс. Если вы выбрали Internet, машина попробует подключиться
через Интернет с текущей машины. Если вы выбрали Web, программа установки
попробует использовать любой компьютер в сети. Сервер лицензий использует
цифровой сертификат, удостоверяющий подлинность владельца, для получения
от Microsoft пакета лицензий.
Менеджер терминальных служб
Terminal Services Manager позволяет управлять сеансами и процессами на
терминальном сервере. Основные его функции:







Отображение состояния соединения
Отображение информации о пользователе и клиенте
Отображение системных и пользовательских процессов
Отправка сообщений сеансу или пользователю
Удаленное управление другим сеансом
Завершение процесса
Отключение или сброс соединения
Настройка терминальных служб
Утилита Terminal Services Configuration создает, изменяет, удаляет сеансы и
наборы сеансов на терминальных службах. Ее основные функции:




Добавление пользователей и групп в списки доступа
Настройка нового соединения
Управление правами доступа для соединения
Усправление настройками тайм-аутов и настройками отключения
Terminal Services Client Creator
Эта утилита создает набор дискетт, используемых для установки программного
обеспечения клиента.
Terminal Services Licensing
Эта утилита позволяет администратору устанавливать клиентские лицензии,
выдавать лицензии клиентам, вести списки лицензий. С ее помощью вы можете:



Активировать сервер лицензий
Получить лицензии
Просмотреть лицензии, как выданные, так и свободные
Балансирование нагрузки
Этот компонент доступен только в Windows 2000 Advanced Server и Datacenter.
Версия Microsoft используется для повышения отказоустойчивости. Например, в
случае выхода из строя одного из серверов, балансировка задействует другой
сервер. Версия Citrix намного более удобна, поскольку позволяет динамически
переключаться между серверами с учетом многих факторов.
Глава 8: Установка Citrix MetaFrame
После успешной установки Windows 2000 Server и настройки терминальных
служб, установка Citrix MetaFrame 1.8 происходит достаточно легко и быстро.
Перед установкой MetaFrame вы должны учитывать ряд вещей. Если вы хотите
установить MetaFrame на тот же раздел жесткого диска, что и Windows 2000, то
убедитесь в наличии достаточного свободного для установки MetaFrame плюс
размер, равный двукратному объему установленной RAM. Если вы хотите
использовать переназначения драйвов, то установите все приложения после
установки MetaFrame. Все сетевые протоколы должны быть настроены до
установки MetaFrame.
1. Вставьте CD с MetaFrame в сервер. Если разрешен автозапуск CD,
то появится экран установки. В противном случае запустите с CD
setup.exe.
2. Читайте и следуйте инструкциям на экране. В конце установки
сервер перезагрузится. Это необходимо для продолжения
установки.
3. Экран лицензирования позволяет установить пакеты лицензий для
MetaFrame 1.8 for Windows во время установки. Если вы
устанавливаете лицензии во время установки, то у вас есть 35
дней для регистрации сервера на Citrix Systems. Для добавления
пакетов лицензий щелкните кнопку Add.
4. Для установки пакетов лицензий щелкните кнопку со знаком
"плюс" и введите серийный номер лицензии. Ключ лицензии
находится на обратной стороне коробки CD. Лицензионный код на
коробке имеет вид "XXXX" одним полем, чтобы предотвратить его
ввод в качестве ключа лицензии. При регистрации лицензионного
ключа в Citrix вы получите машинный код из столбца
лицензионного кода в окне лицензирования. После установки этот
экран открывается из панели задач "Citrix".
5. Выберите сетевые протоколы, которые будут нести траффик ICA.
Вам доступны только ранее установленные протоколы. Для
каждого из протоколов будет сконфигурировано соединение ICA по
умолчанию.
6. Если вы будете использовать модемные соединения, вы можете во
время установки сконфигурировать модемы. Модемы нельзя
настроить одновременно для RAS и ICA. Модемы, уже настроенные
для RAS, недоступны для выбора.
7. Вы можете задать систему переназначения драйвов клиентов. По
умолчанию драйвы сервера сохраняют свои буквы (начинаются с
C:, D: и т.д.), а клиентские диски начинаются с V:, U: и т.д.
Однако, пользователю это интуитивно может быть непонятно.
8. Предупреждающее окно говорит, что установленные ранее
приложения могут оказывать влияние на функцию переназначения
дисков.
Всеми силами старайтесь избегать такого конфликта установкой
MetaFrame до установки приложений на сервере. Если же вы
успели установить приложение, поищите в файле README, идущем
в комплекте с MetaFrame, процедуру изменения реестра,
требуемую для устранения конфликта.
9. Окно "Server Drive Reassignment" (переназначение дисков сервера)
разрешает функцию переназначения дисков и настроку начальной
буквы. драйва. При использовании кластеров и балансировки
приложений убедитесь, что на всех серверах используется одна и
та же конфигурация переназначений.
Совет
Если вы строите пилотную систему или настраиваете несколько серверов на одно и то же
приложение, не устанавливайте пакеты лицензий во время инсталляции. После
инсталляции вы можете установить приложения, а затем сделать полное резервирование
сервера. Это позволит восстановить сервер из пилотной системы вместо его
переустановки после истечения 35 дней.
Интеграция с Active Directory
Active Directory - это значительный шаг вперед в администрировании,
безопасности, управление рабочими столами и версиями. Групповые политики
значительно улучшены по сравнению с NT 4.0, они позволяют интергрировать
безопасность и настройки пользователей в перемещаемые политики (roaming
policies), которые могут перемещаться между рабочими столами (толстый клиент)
и настройками опубликованных приложений. При проектировании вашего
окружения MetaFrame обеспечьте, чтобы выделенный сервер MetaFrame
занимался только обслуживанием приложений. Установка MetaFrame на
контроллер домена не позволяет получить анонимный доступ к приложению на
этом сервере. Кроме того, высокая нагрузка на сервер уменьшает количество
возможных одновременных пользовательских сеансов.
Смешанный режим
Смешанный режим является компромиссом между функциональностью и
производительностью Active Directory. В этом режиме некоторые функции Active
Directory недоступны. Групповая политика и политики NT 4.0 плохо работают
друг с другом. Хотя возможна совместная работа NT Terminal Services и серверов
Windows 2000 MetaFrame, трудно реализовать перемещаемые профили,
политики и приложения. Во многих случаях пользователи ощущают разницу
между NT 4.0 Terminal Services и Windows 2000 server.
"Родной" режим
Родной режим Active Directory можно активировать в том случае, когда все
контроллеры доменов работают на Windows 2000. В этом режиме Active Directory
раскрывает все свои достоинства, включая групповые политики.
Групповые политики позволяет централизованно управлять привилегиями и
представлением сетевых ресурсов. Фукция IntelliMirror обеспечивает поддержку
конфигурации пользователя на любой платформе, откуда он регистрируется. Это
эволюционное расширение перемещаемых профилей позволяет пользователю
получать доступ к своим данным, программам, своему рабочему столу с любого
места корпоративной сети. Наилучшая практика использования групповых
политик в MetaFrame включает:









Создание нескольких групп пользователей, которым необходим
разный уровень доступа к рабочему столу (доступ к командной
строке и т.п.)
Создание групп с разным уровнем доступа к опубликованным
приложениям.
Использование переназначения папки "My Documents" на сетевой
ресурс. Это может заменить старое назначение буквы "H:" для
домашнего каталога.
Удаление опции "Shut Down" из меню Start.
Удаление панели управления из меню Start
Спрятать локальные драйвы сервера
Удалить команду Run из меню Start
Удалить панель MetaFrame Management.
Включить квоты для ограничения использования диска
пользователями.
Вы еще больше можете сузить окружение:





Предотвратить правые щелчки мышью на рабочем столе.
Оставить в меню "Start" только команду "Shut Down" (запретив при
этом 'Shut Down Server').
Запретить пользователям устанавливать принтеры.
Разрешить пользователям запускать приложения только с иконки
на рабочем столе, а затем опубликовать приложения и разместить
их иконки на рабочем столе пользователя.
Удалить "My Computer" и "My Network Places" с рабочего стола.
Это лишь немногие из настроек пользователей, которые можно сделать с
помощью IntelliMirror и групповой политики. В некоторых случаях не требуется
предоставлять доступ к рабочему столу Windows. С помощью технологии NFuse
возможно внедрять Программное Окружение на веб-сраницу.
Совет
Чтобы уменьшить размеры перемещаемых профилей, настройте групповую политику для
переназначения папок My Documents, и файлов, относящихся к Internet Explorer
(временные файлы, cookies и т.п.), которые по умолчанию хранятся в профиле, на
отдельный файловый сервер. Это уменьшит время загрузки профиля при запуске
приложения.
Установка NFuse
NFuse - это бесплатное добавление к Citrix MetaFrame, позволяющее
осуществлять простой доступ к опубликованным приложениям через Web. С
выходом Feature Release 1 и NFuse 1.5 стало возможным создавать защищенное
окружение (с 128-битным шифрованием) для Программного Окружения, а
опубликованные приложения можно меньше чем за час сделать доступными
через веб-страницы. Использование скриптов и Web Site Wizard позволяет
создавать свои веб-страницы, которые включают доступ к приложениям через
интранет, экстранет или интернет. Использование NFuse 1.5 для развертывания
приложений через Интернет создает метод быстрого предоставления доступа к
приложениям для удаленных офисов и надомных работников.
Для установки NFuse сначала установите расширения NFuse на сервере
MetaFrame. Затем установите расширения Web на Web-сервер. NFuse
поддерживает несколько типов веб-серверов. Ниже описана установка NFuse 1.5
и Web-расширений для Microsoft Internet Information Server (IIS).
1. Вставьте CD NFuse 1.5 CD в сервер MetaFrame. Дважды щелкните
на NFuseWizard.EXE для запуска программы установки.
2. Следуйте инструкциям на экране для установки файлов NFuse на
сервер MetaFrame.
3. Перезагрузка сервера по завершении установки не обязательна.
4. Установите Web-расширения на ваш Web-сервер. Ваш сервер
MetaFrame может использовать IIS и хранить веб-страницы NFuse.
Однако, старайтесь использовать отдельный веб-сервер для
избежания перегрузки сервера MetaFrame. При подключении через
Интренет это также даст более высокий уровень безпасности.
NFuse 1.5 поддерживает SSL.
5. Запустите [?] из CD NFuse 1.5. Можете установить файлы
примеров, если хотите получить немедленный доступ к функциям
NFuse.
6. Объекты NFuse должны быть способны подключаться к серверу
MetaFrame. В диалоге "Connecting to Citrix Server" введите IP-адрес
сервера MetaFrame server и порт TCP, который будет
использоваться для установления соединения.
7. В большинстве случае вы не будете использовать порт 80 для
коммуникаций Citrix XML, поскольку это будет конфликтовть с
обычным траффиком HTTP. При попытке выбрать порт 80 вы
получите предупреждающее сообщение.
Убедитесь, что вы используете тот же порт, на который настроен
сервер MetaFrame. Проверить номер порта можно в реестре:
HKLM\SYSTEM\CurrentControlSet\Services\CtxHttp\TcpPort
Citrix и Yahoo! заключили соглашение о комбинировании функций Yahoo! и NFuse для разработки
интрасетей и экстрасетей. Это может быть прекрасной опцией для развертывания корпоративных
сайтов.
8. Укажите корневой каталог веб-сервера. Если вы создаете
отдельный виртуальный сервер для NFuse, выберите желаемый
каталог. Поместите файлы в корневой каталог веб-сервера так,
чтобы потом можно было соединеняться по адресу http://IPадрес сервера/NFuse15/default.htm.
9. Чтобы NFuse автоматически устанавливал ICA-клиентов при
подключении пользователя к веб-сайту с NFuse, выберите "Yes" на
соответствующий вопрос.
10.Далее программа установки скопирует необходимые файлы.
11.Установка NFuse завершится и служба WWW будет перезапущена.
Для проверки установки попробуйте обратиться к странице
http://[IP-адрес веб-сервера]/NFuse15/default.htm. Эта
страница содержит несколько ссылок, демонстрирующих
особенности NFuse 1.5. Эти страницы могут служит примерами для
создания собственных веб-страниц.
Feature Release 1
Feature Release 1 для MetaFrame 1.8 содержит множество улучшений
существующих функций, а также включает некоторые новшества, в том числе
NFuse 1.5. Помимо описанных ниже, сюда входят средства повышающие комфорт
работы пользователей, включая поддержку больших разрешений экрана,
большую глубину цвета, поддержку нескольких мониторов.
NFuse 1.5
Feature Release 1 содержит улучшенную службу XML, которая используется для
коммуникации между веб-сервером и MetaFrame. Это новая служба использует
протокол TCP вместо UDP, что облегчает соединения через защитные экраны
(firewalls). По умолчанию служба XML использует порт 80.
Шифрование RC5
Ранее служба Secure ICA продавалась отдельно от MetaFrame. В FR1 включено
шифрование по алгоритму RC5, разрешающее использование 40-, 56- и 128битного шифрования пользовательских сеансов. Если оно включено, при
регистрации используется 128-битное шифрование. Этот метод использует
симметричный алгоритм RSA для шифрования и расшифровки данных, и
алгоритм Диффи-Хеллмана согласования ключей для генерации секретных
ключей. Если включено, то шифруется весь траффик ICA. Уровень шифрования
можно настроить на уровне соединений или на уровне приложений.
SSL Relay
При установке NFuse на веб-сервер, расположенный отдельно от MetaFrame,
траффик между ними ранее не шифровался. SSL relay использует технологию
SSL для шифрования данных между веб-сервером и MetaFrame. По умолчанию
эта служба использует порт 443 и требует установки на веб-сервере
правильного сертификата.
TCP-Based Browsing
Эта функция устраняет необходимость в траффике UDP через межсетевые
экраны, позволяя NFuse получать доступ во внутреннюю сеть. Эта функция
работает на порту 80 TCP, как обычный траффик HTTP.
Установка через Web
Эта функция позволяет администраторам создавать веб-страницы, которые будут
предлагать пользователям установить требуемое программное обепечение, если
оно отстутствует. Она особенно полезна при публикации приложений в
Интернет.
Улучшение реакции
Технология SpeedScreen увеличивает производительность приложений на
низкоскоростных соединениях. SpeedScreen обеспечивает немедленную реакцию
на события мыши и локальное эхо вводимого текста. Пока событие мыши
обрабатывается, ее курсор меняет форму. Локальное эхо текста отображает
вводимые симолы, не дожидаясь получения обновления экрана. Эта функция
должна быть тщательно протестирована и должна применяться выборочно,
поскольку работает только с программами, использующих стандартные функции
API Windows для вывода текста.
Проверка настройки и создание пилотной системы
После установки MetaFrame и Nfuse следует проверить приложения на пилотном
проекте. Процедуры мониторинга производительности уже описаны ранее.
Подготовка
1. Опрделите, какие приложения необходимо включить в проект.
2. Определите, ккие типы соединений будут использоваться (TCP/IP,
IPX/SPX, модем, выделенная линия, LAN, WAN и т.п.).
3. Определите стандарты производительности приложений.
4. Определите параметры стоимости для каждого пользователя и для
проекта вцелом.
Установите испытательный стенд
1. Выделите под стенд соответствующее оборудование, чтобы оно
могло использоваться в офф-лайне и не затрагивать
существующее работающее окружение.
2. Используйте подходящее аппаратное обеспечение пользователя
для трех одновременных пользователей.
Резервирование, тест, исследование и еще раз тест
1. Делайте резервную копию сервера перед каждым внесением
изменений и при необходимости делайте восстановление.
Особенно это касается изменений в реестре.
2. Индивидуально проверяйте каждое приложение перед проверкой
сервера со всеми приложениями и одновременными
пользователями.
3. Когда требуемая производительность не достигнута, займитесь
исследованием. Прекрасным источником информации являются
архивы Listserv
Определите среду продукта
1. Определите, как вы будете предоставлять приложение
пользователям - через Program Neighborhood или через рабочий
стол.
2. При использовании рабочего стола определите политики
безопасности так, чтобы пользователи имели достаточные права
для запуска нужных приложений, но с учетом безопасности
окружения.
После того, как ваши приложения заработали без проблем, приступайте к
масштабированию сервера. Здесь простое правило - покупайте все самое
быстрое, от дисков до процессора. Определите требование к памяти для каждого
приложения. Умножьте это число на количество одновременных пользователей,
добавьте требования Windows 2000 и еще немного для учета простаивающих
сеансов. Добавьте еще 10% под буферизацию. В крайнем случае, сэкономьте на
процессоре, но только не на памяти.
Запуск и внедрение приложений
Application Launching and Embedding (ALE) представляет собой уникальную
функцию MetaFrame для Web-приложений. ALE позволяет запускать приложения
в отдельном окне или внедрять их в веб-страницу. Встравиваемые приложения
можно использовать из веб-браузеров. Запущенные приложения трудно
отличить от установленных локально. Пользователь может легко переключаться
между запущенным приложением и рабочим столом своего клиента на базе
Windows.
Развертывание MetaFrame
После того, как вы получили удовлетворительные результаты на пилотной
системе, сервер MetaFrame можно вводить в эксплуатацию. В зависимости от
полученных результатов вы должны иметь подходящую конфигурацию,
достаточную для эффективного запуска приложений на Citrix MetaFrame, а также
информацию о требуемых ресурсах для правильного масштабирования
оборудования сервера. Ключевым аспектом внедрения является предоставление
доступа к приложениям для конечных пользователей, установление политики
ограничения доступа, и установка клиентов.
Представление приложений пользователям
При развертывании Citrix MetaFrame фундаментальный вопрос состоит в том,
нужно ли предоставлять пользователям рабочие столы или только
опубликованные приложения. Если пользователи работают с Windowsклиентами, запуск рабочего стола в MetaFrame будет их смущать, поэтому
Программное Окружение является предпочтительным способом. Другим
клиентам может быть более удобным первый способ. С точки зрения
управляемости, безопасности и удобства опубликованные приложения менее
сложны, чем создание профилей и использование групповых политик для
создания структурированного рабочего стола. Подход на основе NFuse является
интресной альтернативой обычному рабочему столу. Ваше решение зависит от
требований пользователей.
Определение окружения
Если вы публикуете приложения через Программное окружение или NFuse,
задача упрощается. Спрячьте драйвы сервера, убедитесь в доступности
принтеров, измените каталоги сохранения файлов по умолчанию, и можете
начинать. Если пользователи запускают рабочий стол, то потребуется больше
работы. К счастью, вы уже проверили настройки политик и Active Directory в
пилотном проекте. Если вы тщательно протестировали пилотную систему, ввод в
эксплуатацию сервера будет несложным.
Установка ICA-клиентов
Citrix разработала клиентов почти для каждого виртуального устройства, которое
может получить доступ к сети данных. Последовательность установки клиентов
ICA описаны в Главе 6, сдесь мы обсудим только стратегию. Если машина
использует браузер, то можно настроить NFuse 1.5 для автоматической
установки клиентов перед регистрацией на сервере MetaFrame. Также можно
сделать автоматическую установку клиента в скрипте регистрации. И, конечно,
можно создать комплект инсталляционных дискетт.
Для создания заранее настроенного клиента ICA:




Установите нужного клиента ICA на подходящей клиентской
машине
Запустите клиента и настройте его согласно вашим требованиям.
Переименуйте файлы Module.SRC и Appsrv.SRC на вашей
инсталляции в Module.OLD и Appsrv.OLD.
Скопируйте Module.INI и Appsrv.INI с клиентской машины на
носители инсталляции, и затем переименуйте их там в Module.SRC
и Appsrv.SRC. Эти два файла содержат настройки клиента.
Лицензирование Citrix MetaFrame
Все продукты Citrix и пакеты лицензий должны быть зарегистрированы в
течении 35 дней после установки. Клиенты Citrix продаются на каждого
одновременного пользователя. Лицензии могут быть распределены на разных
серверах, формируя пул лицензий. Дополнительные продукты, как слежба
управления ресурсами и балансирование нагрузки, лицензируются на каждый
сервер.
Повторная регистрация одного и того же ключа лицензии не рекомендуется и
может вызывать вопросы у Citrix Corporation. По этой причине вам сначала
следует добиться стабильной работы системы, а потом лицензировать ключи. Эта
процедура легко может быть выполнена из веб-браузера.
Citrix предоставляет два инструмента для установки и поддержания лицензий утилита лицензирования, входящая в комплект MetaFrame, или систему
активации лицензий - Citrix Activation System (CAS), доступ к которой
осуществляется через веб.
Утилита Citrix Licensing используется для установки и активирования Citrix
MetaFrame и дополнительных компонентов, требующих лицензии. Веб-сайт Citrix
содержит ссылки на страницы автоматизированной регистрации, которые
соедржат необходимую информацию для активирования. При первом входе вам
необходимо зарегистрироваться. Используйте эту веб-страницу для получения
кодов активации ваших лицензий.
Глава 9: Настройка пользователей
Администраторы могут сделать комфортной работу пользователей, настроив
параметры сеанса на сервере. Мерилом хорошей настройки является
удовлетворенность пользователей работой с приложением.
Настройка параметров утилитами Active Directory
Многие компании интегрируют MetaFrame как сервер-член в Windows 2000 Active
Directory и поволяют стандартным контроллерам домена Windows 2000 нести
службы DNS, репликации, функции DHCP. Хотя MetaFrame может использовать
DNS и DHCP на платформе UNIX, проблем кросс-платформенности можно
избежать, реализовав эти службы на контроллерах домена Windows 2000. DNS и
DHCP в Windows 2000 содержат много дополнительных расширений, например,
динамический DNS через DHCP, что ставит их впереди аналогичных UNIX-служб
.
Мы не собираемся сильно концентрироваться на проектировании или настройке
Active Directory. Мы лишь кратко рассмотрим ключевые моменты, необходимые
для решения наших задач. Проектирование и внедрение Active Directory это
отдельная книга, и много из таких книг уже написаны. Я очень рекомендую
документ Resource Kit Deployment Planning Guide.
Citrix не рекомендует устанавливать MetaFrame на контроллер домена по
причинам производительности. Если вы собираетесь устанавливать клиентсерверное приложение, вы должны установить SQL-сервер на отдельной от
MetaFrame машине. Если вы хотите удаленно управлять службой каталогов,
установите терминальные службы в режиме администрирования; это создает
невысокую нагрузку на сервер. MetaFrame можно интегрировать в
существующий Active Directory как сервер-член. В этом случае инструменты
Active Directory по умолчанию не устанавливаются, поэтому вам следует создать
собственную Консоль Управления ( Microsoft Management Console (MMC) для
управления пользователями и группами на сервере MetaFrame.
Все пользовательские настройки находятся на закладке "Свойства" (Properties)
объекта "пользователь" (user). Зайдите через консоль на контроллер домена,
запустите Start | Programs | Administrative Tools | Active Directory Users and
Computers.
Раскройте в левом окне ветвь "Users", дважды щелкните на имени пользователя
или щелкните правой кнопкой мыши и выберите "Properties". Если вы являетесь
сервером-членом или рабочей станцией, вам необходимы права администратора
домена.
Внимание
Хотя контроллер домена Active Directory имеет только доменные учетные записи, серверчлен имеет как доменные, так и локальные записи. Не забывайте использовать хорошие
пароли или запрещать неиспользуемые локальные учетные записи. Особенно это
касается бюджета локального администратора (не оставили ли вы пароль пустым во
время установки?). Иначе вы будете представлять отличную мишень для
злоумышленников.
Многие новички-администраторы испытывают шок после переноса их первого
контроллера домена в Active Directory. Первым делом они открывают консоль
Computer Management, далее "Local Users and Groups" и смотрят, какие новые
функции добавлены. После этого следует начать добавлять новых
пользователей, но их встречает сообщение об ошибке и красный крест на
наиболее часто используемой утилите.
На самом деле, волноваться нет причин. Просто утилита "Local Users and Groups"
после модернизации сервера до контроллера домена запрещается. Помните,
контроллеры домена больше не имеют локальных пользователей и групп, а
существующие учетные записи преобразуются в доменные учетные записи.
Создание собственной консоли управления (MMC)
Как мы упомянули ранее, если вы не установили MetaFrame на контроллер
домена, у вас не будет компонента "Active Directory Users and Computers". Чтобы
управлять пользователями и группами вам следует вручную добавить этот
компонент. Это довольно простой процесс. Многие функции администрирования
можно собрать в "Избранное" - список наиболее часто используемых утилит. Дла
начала щелкните 'Start' и выберите 'Run'. Введите mmc. После этого запустится
новое пустое окно MMC. Из меню "Console" выберите "Add/Remove Snap-in".
Откроется пустое окно Add/Remove Snap-in. Щелкните кнопку "Add", появится
окно "Add Standalone Snap-in" со списком доступных компонентов.
Выберите "Active Directory Users and Computers". Щелкните "OK" и можно
начинать настраивать Active Directory. Вы можете сохранить эту консоль под
каким-нибудь именем, и она автоматически добавится к элементу "Administrative
Tools".
Настройка свойств пользователя
Завершив подготовительные шаги, перейдем к настройке учетных записей.
Откройте закладку свойств пользователя, выбрав Start | Programs |
Administrative Tools | Active Directory Users and Computers. Там откройте ветвь
пользователей, дважды щелкните на пользователе. Откроется окно свойств.
На закладке General вы можете ввести имя, инициалы, фамилию, отображаемое
имя, описание, номер офиса, телефон, почтовый адрес, веб-страницу. Кнопка
"Other" позволяет ввести дополнительные номера телефонов или веб-страницы.
На закладке Address вы можете ввести улицу, номер почтового ящика, город,
штат/провинцию, почтовый индекс, страну.
Закладка Account используется чаще всего. Здесь вы указываете
регистрационное имя, домен, имя и домен NetBIOS.
При нажатии на кнопку "Logon Hours" запускается графическая утилита
настройки ограничения пользователя по времени. Простым щелчком и
перетаскиванием вы легко можете ограничить рабочие часы, например, с 8:00
утра понедельника до 17:00 пятницы.
Кнопка "Log On To" позволяет указать, какие пользователи рабочей станции
могут на ней регистрироваться. Под ней находится переключатель "Account
locked out". Обычно он серый. Если переключатель установлен, то это означает,
что было больше ошибочных попыток входа, чем дозволено вашей политикой
безопасности. Нужно немедленно связться с пользователем, а также проcмотреть
журналы (logs), чтобы проверить, забыл ли он пароль или была попытка
несанкционированного доступа. В защищенном окружении учетная запись
остается заблокированной до тех пор, пока ее не разблокирует администратор. В
противном случае блокировка снимается через некоторое время, установленное
в вашей политике.
Под переключателем "Account locked out" находится ряд опций. Принудительная
смена пароля пользователем при следующей регистрации полезна, если вы не
хотите ждать даты истечения срока действия его пароля, или когда назначаете
стандартный пароль новому пользователю, который он должен немедленно
сменить. Некоторые компании также предотвращают смену пароля самими
пользователями. Это полезно, если у вас есть небольшое защищенное
окружение и вы сами раздаете пользователям пароли. Это всегда должно быть
включено для запрещенных учетных записей (например, guest), а также служб,
запускаемых от имени пользователя. Не следует устанавливать переключатель
"Password never expire" (срок действия пароля не ограничен). Большинство
компаний устанавливают в своей политике периодическую смену пароля раз в
90-120 дней.
Остальные настройки на этой закладке позволяют запретить эту учетную запись.
Запрещение (вместо удаления) неактивной учетной записи позволяет позднее
восстановить ее в случае, например, длительного отсутствия работника. В самом
низу закладки вы можете указать дату прекращения действия пароля.
Закладка Profile используется для установки пути к профилю для обычных
сетевых соединений Windows с использованием TCP/IP или NetBIOS. Здесь также
устанавливается домашний каталог пользователя. Эти настройки не оказывают
влияния на настройки RDP и ICA на клиенте.
Закладка Telephones используется для указания домашнего и рабочего номеров
телефона пользователя, а также пейджера, мобильного телефона, факса и IPтелефона. Тут также находится поле Notes, предназначенное для комментариев.
Каждое поле имеет кнопку "Other", позволяющую вводить дополнительные
телефонные номера каждого типа.
Закладка Organization содержит поля для ввода должности, департамента,
компании, имени менеджера. Поле "Manager" содержит кнопку "Change", при
нажатии на которую можно выбрать пользователя из списка Active Directory.
Закладка Remote Control используется только при соединении через
терминальные службы. Она содержит переключатель, разрешающий или
запрещающий теневые сеансы (shadowing). Здесь же вы можете установить
уровень контроля - только просмотр или интерактивное взаимодействие. Именно
здесь вы можете отключить требование подтверждения пользователя при
установлении теневого сеанса. По умолчанию, для установления теневого сеанса
необходимо подтверждение пользователя.
Закладка Terminal Services Profile использутся для настройки размещения
профиля для пользователей терминальных служб. Здесь же можно указать
домашний каталог пользователя терминальных служб. На этой закладке также
находится переключатель, разрешающий или запрещающий регисрацию на
терминальном сервере.
Закладка Member Of позволяет отобразить и изменить членство пользователя в
группах. Щелкните кнопку "Add", затем выберите дополнительные группы, в
которые надо добавить пользователя.
Закладка Dial-in содержит разрешения для сервера удаленного доступа (RAS).
Вы можете разрешить или запретить доступ к RAS, разрешить использование
политики Remote Access Policy, установить опции обратного дозвона (callback),
определить адреса IP и статические маршруты для клиентов RAS. Эти настройки
в обычной конфигурации не оказывают влияния на соединения терминальных
служб.
Закладка Environment используется в терминальных службах и позволяет
настроить начальное окружение для пользователей. В этом окне вы можете
указать начальную программу, которая должна автоматически запускаться при
каждой регистрации пользователя. В этом случае вы можете указать только одну
программу, причем когда пользователь закрывает эту программу, происходит его
разрегистрация. Вы также можете указать, можно ли клиенту подключать свои
драйвы, принтеры, а также указать принтер по умолчанию.
Настройки на этой закладке переопределяют аналогичные установки, сделанные
на клиенте.
Закладка Sessions также используется в терминальных службах, как с RDP, так
и с ICA. Тут вы можете выбрать минимальную и максимальную
продолжительность активного сеанса, время простоя, максимальное время
отключения сеанса до его сброса.
Можно также установить действие, предпринимаемое при достижении лимита
сеанса: отключить сеанс или завершить его. Вы можете разрешить повторное
соединение с любого клиента или только с клиента, инициировавшего сеанс.
Будьте осторожны с этими опциями, поскольку можно быстро исчерпать ресурсы
сервера. Устанавливая время неактивности, учитывайте программы, например,
долго ожидающие ответа на запрос от SQL-сервера. С другой стороны,
ограничение количества активных сеансов весьма полезно для провайдеров
приложений, которым необходимо отслеживать и отключать клиентов,
выработавших предоплаченное время.
Использование утилит Citrix MetaFrame
Настало время обсудить несколько утилит Citrix MetaFrame, которые
устанвливаются на сервер Windows 2000.
Shadowing
Утилита Shadowing позволяет удаленно наблюдать и/или взаимодействовать с
другим сеансом пользователя. Во время теневого сеанса наблюдаемый сеанс
отображается в отдельном окне. В зависимости от настройки, сеанс можно либо
только наблюдать, либо интерактивно взаимодействовать с ним. В
интерактивном режиме все события мыши и клавиатуры передаются на
наблюдаемый сеанс.
Теневые сеансы являются одним из наиболее мощных средств сервера
MetaFrame и могут использоваться не по назначению. Это необходимо учитывать
при предоставлении привилегий на теневые сеансы. Microsoft Windows 2000
Terminal Services и протокол RDP5 поддерживает теневые сеансы один-к-одному.
Как и Microsoft, сервер Citrix MetaFrame также позволяет наблюдение один-кодному при использовании RDP посредством утилиты Citrix Server Administration
Tool. И использованием протокола ICA можно реализовывать схемы "один к
одному", "один ко многим", "многие к одному". Схема "многие к одному"
прекрасно подходит для обучения пользователей; например, несколько
студентов одновременно могут наблюдать за действиями одного инструктора,
который может удобно расположиться в своем офисе.
Внимание
По умолчанию, при установлении теневого сеанса пользователь получает выскакивающее
окно с сообщением, что пользователь \\server\user удаленно запрашивает управление
сеансом и предлагает принять или отказать. Это уведомление можно отключить в
профилях соединения или в индивидуальном профиле пользователя.
Существует два метода установления теневого сенаса. Первый заключается в
использование панели ICA Shadow taskbar, а второй использует утилиту Citrix
Server Administration. Предпочтитльно использовать первый метод, поскольку в
нем больше функциональных возможностей.
Для установления теневого сеанса из Shadow Taskbar выполните следующие
шаги:
1. Щелкните Start | Programs | MetaFrame Tools | Shadow Taskbar, или
просто щелкните иконку "Shadow taskbar" в нижней части панели
MetaFrame.
2. Запустится панель Shadow. В верхней части экрана должна
появиться новая панель инструментов.
3. Щелкните кнопку Shadow и появится окно опций.
4. Раскройте папку Users в левом окне и подсветите нужного
пользователя. Возможно, для построения списка пользователей
может потребоваться несколько секунд.
5. Щелкайте кнопку Add до тех пор, пока все нужные пользователи не
появятся в правом окне.
6. Нажмите OK для установления теневого сеанса.
7. Пользователю будет выдано окно с запросом разрешения на
наблюдение за ним (это установлено по умолчанию; смотрите
выше).
8. Если пользователь принимает теневой сеанс или отключено
уведомление, вы можете видеть и/или взаимодействовать с его
сеансом. В панели задач Shadow появится новая кнопка для
каждого наблюдаемого сеанса. Вы можете переключаться между
теневыми сеансами, щелкая соответствующую кнопку.
9. Для выхода из теневого сеанса нажмите CTRL-* (по умолчанию)
или ту комбинацию клавиш, которую вы указали сеанса. Вы также
можете щелкнуть правой кнопкой мыши на панели задач и выбрать
"Stop Shadow".
Установление теневого сеанса с помоью утилиты Citrix Server
Administration
1. Щелкните Start | Programs | MetaFrame Tools | Citrix Server
Administration или просто щелкните на ярлыке на панели задач
MetaFrame.
2. В новом окне запустится утилита "Citrix Server Administration".
3. Щелкните правой кнопкой мыши на имени пользователя, выберите
"Shadow", или подсветите пользователя и из меню "Action"
выберите "Shadow".
4.
5. Пользователю будет выдано окно с запросом разрешения на
наблюдение за ним (это установлено по умолчанию; смотрите
выше).
6. Если пользователь принимает теневой сеанс или отключено
уведомление, вы можете видеть и/или взаимодействовать с его
сеансом.
7. Для выхода из теневого сеанса нажмите CTRL-* (по умолчанию)
или ту комбинацию клавиш, которую вы указали сеанса. Вы также
можете щелкнуть правой кнопкой мыши на панели задач и выбрать
"Stop Shadow".
Правила теневых сеансов
Хотя теневые сеансы являются великолепным инструментом, они содержат ряд
ограничений.





Нельзя наблюдать за консолью
Сеансы, запущенные из Citrix Server Administration, могут
поддерживать только схему "один к одному".
Сеансы могут быть запущены с использованием Terminal
Services Manager ("удаленное управление" вместо
"удаленное наблюдение").
Вы не можете наблюдать за пользователями RDP, а только
за пользователями ICA.
Если пользователь отклоняет установление теневого сеанса,
выбрав "No" или вообще ничего не выбрав в течении 30





секунд, то возвращается ошибка #7044, означающая отказ
в управлении другим сеансом.
Вы можете инициировать теневой сеанс только используя
один и тот же протокол, другими словами, RDP к RDP или
ICA к ICA.
Вы не можете наблюдать сеанс ICA, используя протокол RDP
и наоборот.
Теневой сеанс должен поддерживать такое же
видеоразрешение или выше, чем наблюдаемый сеанс.
Теневые сеансы потребляют много памяти сервера.
Некоторые компании для этой цели используют выделенные
серверы и балансировку нагрузки.
По умолчанию только администраторы имеют право
наблюдать за остальными пользователями. Для
предоставления такого права другим пользователям,
создайте новую группу и предоставьте этой группе
привилегию установления теневых сеансов.
Групповые политики
Групповые политики (Group Policy) используются в Windows 2000 для
расширения возможностей и управления рабочими столами и компьютерами
пользователей. Групповые политики можно использовать в серверах MetaFrame,
установленных на контроллерах доменов или серверах-членах.
Групповые политики спроектированы и используются для облегчения
администрирования рабочими столами, снижения издержек на поддержку
пользователей, повышения безопасности сетевых систем. Администраторы могут
настроить права доступа пользователей к значениям, хранящимся в реестре,
опциям безпасности, инсталляции программ. Они могут автоматизировать многие
задачи посредством скриптов входа, выхода, запуска, останова. Файлы
пользователей могут быть перенесены на сетевые диски, которые периодически
резервируются, или новым пользователям предоставляется заранее настроенный
рабочий стол. Все эти опции доступны с разным уровнем доступа. Мы не будем
вдаваться в детали группровых политик, это тема для отдельной книги. Мы
сосредоточим внимание на основы политики и на том, как они могут помочь
пользователям в освоении MetaFrame, и какие преимущества получает
администратор.
Начнем с различий между групповыми полтиками Active Directory и старым
редактором политики в системах NT 4.0 и Win9x.
Системная политика NT 4.0
Группровая политика Active
Directory
Политики NT 4.0 применяются к
доменам
Политики AD могут ассоциироваться с
местом (site), доменом,
организационной единицей (OU)
Политика NT 4.0 управляется
принадлежностью к группе
Политика AD затрагивает всех
пользователей и компьютеры на месте
безопасности
(site), в домене или в OU. Они также
могут управляться принадлежностью к
группе безопасности
Политики NT 4.0 не безопасны.
Пользователи могут менять их
редактором реестра (regedit.exe)
Политики безопасны. Только
администратор может менять эти
установки.
Настройки постоянные. Установки
существуют, пока не будут
пересмотрены или пользователь
вручную не изменит реестр. Часто это
нежелательно
Политики AD удаляются и
перезаписываются всякий раз при
изменении политики. Если политика
больше не применяется, она удаляется.
Политики NT 4.0 ограничены
обязательным рабочим столом и
основаны на изменении реестра.
Политики AD улучшают окружение
пользователя, позволяя более точно
настроить управление рабочим столом.
Как и в NT 4.0, Windows 2000 использует Административные Шаблоны
(Administrative Templates) как часть структуры групповой политики. Если в NT
4.0 по ошибке включить некоторые политики, то это может привести к
необходимости посетить каждый компьютер для восстановления изменений.
Политика в Windows 2000 работает как фильтр, применяемый к реестру и может
быть удалена из конфигурации сервера в течении нескольких секунд. В Windows
2000 это реализовано посредством нового стиля - Административного Шаблона
(Administrative Template). По умолчанию в консоли групповой политики
устанавливаются три файла .ADM: System.ADM, Inetres.ADM и Conf.ADM.
Conf.ADM по умолчанию не загружается и содержит настройки для Microsoft
NetMeeting. Inetres.ADM содержит настройки для Internet Explorer. System.ADM
содержит настройки для многих других компонентов. Это позволяет
отредактировать файл шаблона и добавить к существующим 450 настройкам.
Однако, все дополнительные настройки в реестре должны быть размещены в
ветке реестра \Software\Policies или
\Software\Microsoft\Windows\CurrentVersion\Policies для избежания
нежелательных постоянных изменений в реестре. По этой же причине вы не
должны пытаться использовать старые .ADM-файлы от NT 4.0 в Windows 2000.
Подробнее о файлах .ADM смотрите на CD-ROM " Windows 2000 Resource Kit CDROM. На нем находится файл GP.CHM, содержащий информацию о настройке
шаблонов.
Понятие групповых политик и Active Directory
Понимание принципа работы групповой политики является ключевым фактором
в проектировании вашей структуры. Я настоятельно советую перед обновлением
вашей сетевой инфраструктуры обратиться к профессионалам за помощью в
проектировании структуры Active Directory и пройти обучающий курс.
Одним из важнейших аспектов пректирования является группа. Попытайтесь все
разделить на группы. Чем больше типов групп вы можете создать, тем более
гибкое управление вы получите. Представьте группы в виде контейнеров;
контейнеры используются в Active Directory для хранения в них объектов.
Существует два типа объектов групповой политики - локальный и нелокальный.
Каждый компьютер с Windows 2000 содержит один локальный объект групповой
политики. Нелокальные объекты мы обсудим ниже.
Групповые политики могут применяться к контейнерам Active Direcory: OU,
домен или место в следующем порядке:
1.
2.
3.
4.
Локальный (Local)
Место (Site)
Домен (Domain)
Организационная единица (Organizational Unit - OU)
Этот порядок важно запомнить, поскольку политики, применяемые позже,
заменяют те, что присвоены ранее, если они имеют значения Enabled или
Disabled. Значения типа "Not Configured" пропускаются, и более ранние
установки сохраняются.
Профили Organizational Unit используются первыми и применяются начиная с
объекта OU, расположенного на самом верхнем уровне в дереве Active Directory,
и заканчивая объектом пользователя или компьютеря. Если на уровне OU
определены несколько политик, они применяются в порядке, определенном
администратором.
Групповая политика, применяемая к месту (site), применяется ко всем его
доменам. Групповая политика, применяемая к домену, применяется
непосредственно ко всем пользователям и компьютерам этого домена. Групповая
политика, применяемая к OU, применяется ко всем пользователям и
компьютерам в этой OU, и распространяется на другие OU, лежащие ниже этой
OU.
Нельзя связть объект групповой политики с общим контейнером (generic
container). Они рассматриваются как всроенные контейнеры. Заглянув в окно
Active Directory, вы увидите, что папки типа "generic" выглядят как "обычные"
папки. Иконка OU выглядит почти так же, но с маленькой книжкой на папке. Это
означает, что вы не можете поместить групповую политику непосредственно на
встроенные контейнеры Users или Computers. Однако, они наследуют политику
домена, которому принадлежат.
Наследование политики включено по умолчанию. Конечно, существуют средства
принудительного наследования или отключения наследования. Установки "No
Override" и "Enforce Policy Inheritance" очень мощные, но могут запутать
администратора; вы должны всячески избегать их спользования. Тем не менее,
иногда их использование бывает очень эффективным.
Некоторые из настроек на закладке "Security" игнорируются, если применяются
на уровне OU. Для их действия они должны применяться к домену. Сюда
относятся настройки политики пароля, аудита, прав пользователей, регистрации
событий, опции безопасности.
Обработка политики компьютера выполняется до нажатия CTRL-ALT-DEL перед
входом в систему. Политики пользователей обрабатываются до активирования
оболочки. Групповые политики в Windows 2000 обрабатываются каждые 90
минут, поэтому если пользователь внес изменения, противоречащие политике
домена, изменения будут возвращены через 90 минут. Этот интервал можно
задать в Computer Configuration | Administrative Templates | System | Group Policy
| Group Policy Refresh Interval for Computers. Клиентские расширения должны
закончить обработку политики в течении 60 минут. Если клиентское расширение
не закончило работу через 60 минут, устанвки политики не обрабатываются. Это
время изменить нельзя.
Создание собственной консоли MMC для групповой политики
Чтобы вы могли управлять групповыми политиками, вам следует вручную
добавить компонент, создав собственную MMC. Этот процесс аналогичен
созданию MMC для Active Directory. Щелкните кнопку "Start", выберите "Run" и
введите в коне Open "mmc". into the Open window. Откроется пустое окно MMC. Из
меню Console выберите Add/Remove Snap-in. Откроется окно Add/Remove Snapin.
Щелкните Add, и в окне Add Standalone Snap-in появится список
самостоятельных компонентов. Выберите Group Policy. Щелкните OK и теперь
можете выбрать объект политики Local Computer, или можно щелкнуть кнопку
Browse для выбора в локальном домене.
Эту консоль вы можете сохранить под каким-нибудь именем, тогда она
автоматически добавится в список Administrative Tools. Щелкните OK для
открытия компонента Group Policy, который вы только что создали, и можете
приступать к настройке пользовательского окружения.
Обратите внимание, что по умолчанию установки для Computer объявлены как
"Not defined.". Это означает, что при применении политики они будет
игнорироваться. Дважды щелкните на названии и затем привяжите вашу
политику к контейнеру, к которому вы хотите ее применять. Наилучший способ
освоить групповые политики - это пробовать все делать самим. Если политика не
работает или делает не то, что требовалось, просто удалите ее.
Мы уже упомянули, что политики могут применяться как локально, так и не
локально. В следующем примере мы добавим три компонента в консоль MMC
групповых политик. Мы будем использовать политику Local Computer Policy,
объект политики новой группы New Group Policy Object (созданной как новый
объект политики для домена kbeta.com вместо использования политики по
умолчанию для домена (Default Domain Policy), а также компоненты Active
Directory Users and Computers для демонстрации наследования.
Столбец "Policy" определяет политику. В этом примере вы обращаем внимание на
установку Password Policy. Local Setting отображает установку по умолчанию для
истории паролей (0), максимального срока (0), минимальной длины пароля (0) и
сложности (Disabled).
В следующем примере мы увидим, что изменится после применения политики к
домену с разными настройками Password Policy. Local Settings остались теми же,
но Effective Settings прняли значения, которые мы присвоили домену. Во всех
случаях (за исключением, которое мы упомянули ранее), политики домена
применяются до применения локальных политик.
Это позволяет адинистраторам сделать некоторые настройки обязательными
сковзь весь домен. Эти настройки будут применяться к службам, настройкам
регистра, правам к файлам и папкам.
Чтобы подробнее разобраться с настройками политик, посмотрим на установки
для пользователя. Это можно сделать, открыв компонент User Configuration |
Administrative Templates | Windows Components | System, мы увидим
единственную опцию "Run Only Allowed Windows Applications".
Это рекомендуемая установка позволяет защитить вашу систему. Большинству
клиентов требуется доступ к небольшому числу приложений, и совершенно
необязательно давать права ко всему рабочему столу. Для включения
ограничений вам следует добавить необходимые приложения, и применить эту
политику к контейнеру группы. Ваши корпоративные пользователи будут
использовать свои рабочие столы и нужные приложения, к которым вы
разрешили доступ, в то время как сервер будет защищен от нарушителей.
Существует много таких ограничений, некоторые из них могут применяться к
"внутренним" или корпоративным пользователям, например, запрет команды
Run, вывод "Logoff", и даже запрет на изменение своей домашней веб-страницы.
Внимание
Установка "Run Only Allowed Windows Applications" не дает железной защиты от запуска
приложений. Она запрещает запуск приложений только из Windows Explorer. Это не
предотвращает запуск приложений из Панели Задач, с командной строки или других
источников. Если вы включили эту установку, запретите также использование командной
строки ( "Disable the Command Promp"). Проверьте также права доступа ко всем
чувствительным EXE-файлам.
Профили соединения и настройка сеансов
Часть функций управления пользователями реализуется компонентом Connection
Configuration. Мы обсудим, как можно граничить доступ к серверу MetaFrame на
основе протоколов соединения. Многие администраторы ограничивают
пользователей только одним протоколом (обычно TCP/IP, но зависит от
топологии сети) и резервируют несколько типов протоколов для администратора.
Некоторые оставляют один модем на случай аварийного вмешательства.
Хотя многие инструменты для Windows Terminal Server и MetaFrame
взаимозаменяемы, утилиты Terminal Services Configuration tool for Windows 2000
и Connection Configuration tool for MetaFrame имеют множество различий. Здесь
мы рассмотрим только версию для MetaFrame.
Щелкните Start | Programs | MetaFrame Tools | Citrix Connection Configuration.
Откроется окно конфигурации.
Вы видите несколько типов соединений, доступных для клиентов. Для изменения
свойств соединения дважды щелкните на выбранном соединении или выберите
Edit из меню Connection.
В окне "Edit Connection" есть место для комментариев. Мы также можем выбрать
адаптер, на котором желаем иметь соединение этого типа. Это полезно, если
компьютер имеет несколько сетевых карт, причем на одной IPX, а на другой TCP/IP. Можно ограничить число соединений, приравняв его числу имеющихся
лицензий. Кнопка Advanced позволяет целиком разрешать или запрещать
соединения этого типа, настроить авторегистрацию (не рекомендуется из-за
повышенного риска). У нас есть опция для настройки тайм-аутов, начальной
программы, теневых сеансов, опций повторного соединения. Указанные здесь
опции будут переопределять аналогичные опции для клиента/пользователя. Для
повышения производительности отключите обои.
Здесь вы также можете настроить требования безопасности для соединения.
Укажите требуемый уровень шифрования. По умолчанию установлен "basic". По
сегодняшним стандартом этого недостаточно, как это обсуждалось в Главе 6, и
вы можете выбрать более сильные алгоритмы C5. Продукт SecureICA
предоставляет 40, 56 или 128-битное шифрование RC5. Если сервер допускает
минимум 56-битное шифрование, то клиент может подключаться с 56- или 128битным продуктом SecureICA, или он не сможет зарегистрироваться. Поддержка
56- и 128-битного шифрования RC5 включена в Feature Release 1 (MetaFrame XP)
и в клиенте врсии не ниже 6.00.910.
Кнопка ICA Settings позволяет установить качество звука для ICA-соединений.
Звук не поддерживается в RDP-соединениях. Доступны три опции:
Medium
Это значение по умолчанию. Звуковые данные перед передачей клиенту
сжимаются максимум до 64 Kbps. Это слегка ухудшает качество звука,
проигрываемого на клиентской машине, но уменьшает загрузку процессора на
сервере. Эта настройка рекомендуется для локальных сетей и высокоскоростных
глобальных сетей.
High
Звук воспроизводится с оригинальной скоростью потока. При этом получается
отличное качество звука, что тербует полосы пропускания около 1.3 Mbps. Эту
опцию можно использовать только в высокоскоростных локальных сетях и при
необходимости иметь высокое качество звука. Даже не думайте испольовать ее в
глобальных сетях, если у вас нет выделенной линии Т1 на обоих концах. Хотя
эта опция может испольоваться для тестирования пропускной способности сети.
Low
Это рекомендуемая установка для низкоскоростных соединений. Поток данных
сжимается максимум до 16 Kbps. Это вызывает существенное ухудшение
качества, но уменьшает нагрузку на процессор и позволяет использовать звук
даже через модем.
Окно Client Settings позволяет настроить переназначение драйвов клиента,
принтеров, COM- и LPT-портов, буфера обмена и аудио. Эти установки
переопределяют аналогичные установки, сделанные у клиента. Можно
значительно сократить время регистрации, убрав ненужные переназначения,
особенно COM-портов и указав в "Прочих опциях" подключать только принтер
клиента.
Настройка правилегий
По умолчанию обычные пользователи не имеют прав установления теневых
сеансов. Эта функция закреплена только за администратором. Однако, в
некоторых случаях вам может потребоваться разрешить права теневых сеансов
другим пользователям, например, при дистанционном обучении. Конечно,
неразумно давать таким пользователям права администратора. Также не стоит
предоставлять такие права на долгое время, покскольку вы не знаете, за кем
они подсматривают. Если же это вам необходимо, на сервере или домене могут
быть установлены особые права.
1. Сначала создайте новую группу. Назовем ее "Shadow group".
2. Затем добавьте в эту группу тех пользователей, которым вы хотите
предоставить права теневых сеансов.
3. Теперь надо предоставить соответствующие права.
4. Поскольку мы все еще находимся в разделе Citrix Connection
Configuration, подсветите тип соединения и выберите из меню
"Permissions" пункт "Security".
5. Щелкните кнопку Add и выберите из списка пользователей группу
"Shadow group". По умолчанию ей будут даны права "Guest Access"
(госетвой доступ).
6. Включите флажок для предоставления прав пользователей (User
Access).
7. Щелкните кнопку Advanced для открытия окна расширенных
привилегий.
8. Подсветите нашу группу "Shadow group" и щелкните кнопку
View/Edit
9. Вы увидите страницу привилегий с выбранными элементами Query,
Logon, Message и Connect. Здесь вы можете выбрать Shadow.
10.Все готово. Щелкните "OK" и вы вернетесь в окно
конфигурирования соединений, а группа готова к теневым
сеансам.
Глава 10: Настройка терминальных сеансов
В технологии тонкого клиента при подключении рабочей станции к серверу
создается виртуальный сеанс. Эти сеансы можно настроить так, чтобы они
соответствовали вашей среде. Компоненты сеанса, затрагивающие
производительность и подлежащие настройке, включают в себя:




Протоколы
Доступность
Безопасность и теневые сессии
Отключения и тайм-ауты
Создание сеанса
Ваши клентские соединения определяют, какие клиенты и каким образом они
будут подключаться. При установке терминальных служб автоматически
создается соединение по умолчанию. Вы можете настроить его с помощью
утилиты Terminal Services Configuration.
Перед тем, как мы рассмотрим процесс создания нового соединения, давайте
немного поговорим о пользовательских сеансах терминальных служб. Перед
внедрением терминального сервера вы должны представлять, сколько
пользователей будут одновременно использовать ваш сервер и каким образом
они будут к нему подключаться. Убедитесь, что ваше оборудование способно
поддерживать достаточное число пользователей. Процессор 500MHz Pentium III
способен поддерживать до 40 сеансов, а каждый сеанс требует 20MB RAM. Эти
20MB необходимы только для установления сеанса, во время работы может
потребоваться значительно больше. Обычному пользователю для запуска
приложений и нормальной работы требуется около 40MB RAM.
Далее вам необходимо определиться с лицензированием. Существует две опции
лицензирования - по серверу (per server) или по месту (per seat). При
лицензировании "по серверу" существует максимальное число одновременных
соединений. При лицензировании "по месту" каждый клиент, подключающийся к
серверу, будет иметь свою собственную клиентскую лицензию. Для всех сетевых
клиентов я рекомендую лицензирование "по месту", а для всех интернетклиентов - лицензирование "по серверу".
Далее вы должны решить, какие типы соединений нужно создать. Учтите, что
Windows 2000 Terminal Services, в отличие от Citrix Metaframe, не поддерживают
большого разнообразия клиентов. Кроме того, вы ограничены TCP-соединениями
(с использованием RDP) и модемом.
Давайте создадим соединение:
1. Щелкните правой кнопкой мыши в окне Terminal Services
Configuration
2. Выберите New.
3. Выберите тип соединения. По умолчанию установлен Remote
Desktop Protocol (RDP) 5.0
4. Выберите уровень шифрования.
5. Выберите, какой уровень доступности удаленного управления
следует установить
6. Укажите название данного соединения и тип транспорта. По
умолчанию тип транспорта TCP.
7. Ваше соединение может быть доступно для всех сетевых
адаптеров, или только для выбранных.
8. Мастер скажет, что создание нового соединения завершено.
Каждое соединение должно иметь уникальный тип: либо транспорт, либо
адаптер. Если вы попытаетесь создать дубликат соединения без изменения
одного из этих параметров, вы получите сообщение об ошибке. Многие
администраторы думают, что могут создать два соединения для одного
логического соединения и установить разные уровни доступа или параметры
пользователя. Это невозможно. Если у вас есть только одно логическое
соединение, вы должны установить параметры группы или индивидуального
пользователя, чтобы разные пользователи имели разные настройки.
Настройка сеансов
После создания сенасов вы можете приступать к их настройке. Сеансы можно
настроить на базе сервера, на базе соединения, на базе группы и на базе
пользователя. Настройка на базе соединения делается утилитой Terminal
Services Configuration. Просто щелкните правой кнопкой мыши и выберите
Properties.
На закладке General вы можете изменить имя соединения, тип соединения, тип
транспорта. Вы также можете ввести свои комментарии. Здесь также можно
указать уровень шифрования: низкий, средний и высокий. Низкий уровень
использует одностороннее шифрование от сервера клиенту с помощью 40- или
56-битного ключа. Средний уровень использует двусторонее шифрование с 40или 56-битным ключом. Высокие уровень использует 128-битный ключ. Вы
также можете указать использовать стандартный метод аутентификации Windows
NT.
Закладка Sessions позволяет установить ограничения сеанса.
Вы можете установить период неактивности, по истечении которого
производится автоматическая разрегистрация. Это особенно полезно в модемных
соединениях; освободившееся соединение может использовать другой
пользователь. Особо умные пользователи могут "обманывать" неактивность,
просто периодически перемещая мышь. Вот почему вы можете еще установить
максимальное время активности сеанса. Это предотвращает
"монополизирование" пользователем соединения. На закладке Sessions также
можно указать, что делать при отключении пользователя - принудительно
завершить сеанс или оставить его работать. Закрытие сеансов предотвращает
сервер от "забивания" работающими приложениями. С другой стороны, если
оставить сеанс работающим, то пользователь может позднее снова подключиться
к нему и продолжить работу. Я рекомендую завершать сеансы при отключении,
но оставлять работать сеансы администраторов и отдельных важных
пользователей. Администраторы часто запускают процессы, требующих много
времени для свой работы. Если разрешить пользователю отключаться без
закрытия саенсов, то пользователь может подключиться, запустить приложение,
отключиться, пойти пообедать, потом снова вернуться, подключиться и
закончить работу.
Закладка Environment используется для управления двумя вещами. Во-первых,
она позволяет указать программу, автоматически запускающуюся при запуске
сеанса. Это позволяет настроить сеанс на запуск только одного приложения.
Если программа не указана, сеанс начинается с рабочего стола. С него
пользователь может запускать любое приложение, к
которому имеет доступ.
Закладка Environment также используется для
запрещения обоев. Запрет обоев помогает уменьшить
полосу пропускания, увеличивая скорость и реакцию
сенаса. Помните - чем больше передается данных, тем
медленнее сеанс.
Закладка Remote Control используется для настройки
теневых сеансов. Вы можете указать, можно ли их
использовать на этом соединении. Кроме того, можно
указать, должно ли быть это только наблюдение или
разрешается интерактивное вмешательство.
Теневые сенасы не могут быть иницированы с консоли,
равно как нельзя наблюдать консоль. Единственный
способ состоит в открытии клиентского сеанса с
консоли - ипользовать программу клиента.
Закладка Client Settings позволяет указать, какие клиентские устройства
должны обрабатываться терминальными службами.
Если вы не установили Citrix MetaFrame, некоторые опции недоступны, потому
что реализованы только в MetaFrame. Здесь вы можете разрешить
переназначение локальных принтеров. Вы также можете выбрать, должен ли
основной принтер клиента использоваться по умолчанию после регистрации на
терминальном сервере. Вы можете запретить переназначение портов LPT и COM.
Запрет портов LPT предотвращает распечатку пользователями у себя
документов, находящихся на терминальном сервере (это может быть
конфиденциальная информация). Переназначение COM-портов позволяет
использовать локальные модемы. Запрет COM-портов также предотвращает
перенаправление ценной информации на локальный COM-порт. Вы также можете
запретить переназначение буфера обмена, чтобы предотвратить сохранение
конфиденциальных документов на локальных машинах.
Вы также можете указать для этих параметров использование настроек
пользователя. В таком случае каждому пользователю или группе можно
предоставить разные права.
Если вы обнаружили, что процесс регистрации идет слишком долго, отключите
переназначение некоторых устройств. Я обнаружил, что чаще всего это
случается при переназначении COM-портов. Если клиенты подключаются к
модемному серверу, требуется очень много времени для переназначения COMпортов.
Закладка Network Adapter используется для настройки сетевого адаптера, к
которому относится данное соединение. Вы можете применить настройки ко всем
адаптерам или только к выбранному. Также вы можете указать максимальное
число пользователей, которые могут использовать это соединение. Это может
быть полезным для предотвращения чрезмерного использования отдельного
соединения. Для этой же цели можно добавить еще один сетевой адаптер. Два
адаптера позволяют отделить вашу внутреннюю сеть от Интернет.
Закладка Logon Settings позволяет выбрать, какую информацию использовать
при регистрации пользователя.
Вы можете указать указать использовать информацию, предоставляемую
клиентом (т.е. имя и пароль). Вы также можете сами указать имя и пароль. Это
полезно, если вы настроили безопасность на основе какого-нибудь
пользователя, а все остальные пользователи будут регистрироваться под его
учетной записью. Однако, это может быть опасно. Я рекомендую указывать
регистрационную информацию только для пользователей Интернет (особенно
подключающихся черз веб-браузеры). В этом случае вам следует предпринять
особые меры по защите сервера. Также не следует указывать здесь
регистрационную информацию, если время действия пароля пользователя
ограничено.
Если вы решили ограничить доступ к некоторому соединению, это можно сделать
на закладке Session Permissions. Здесь вы можете указать, какие
пользователи и группы могут пользоваться этим соединением. Вы также можете
отпределить, какие права они получат после подключения.
Существует три уровня доступа - гость (guest), пользователь (user) и полный
контроль (full control). Гостям разрешена только регистрация. Пользователи
могут регистрироваться, использовать очереди и messaging. Право "Full control"
предоставляет доступ ко всем функциям системы, по умолчанию оно
предоставлено только SYSTEM и Администраторам. Я советую оставить тут все
без изменений.
Глава 11: Публикуемые приложения
Одной из важнейших концепций тонкого клиента заключаются в установке и
публикации приложений. Установка приложений включает в себя выборе
подходящего приложения, инсталляцию его на сервере, тестирование и
настройку. Публикация приложений меняет традиционный взгляд на процесс
запуска приложения с сервера. Мы просто выбираем нужное приложение, а его
предоставляет любой сервер, который может это делать.
Публикуемые приложения идеально совмещаются с Load Balancing, отдельным
продуктом Citrix, позволяющим объединить несколько серверов в Server Farm.
При использовании Load Balancing, клиент запрашивает у Server Farm нужное
приложение, Master Browser определяет, какой из серверов, способных его
предоставить, наименее загружен, и затем подключает клиента к этому серверу.
В этой главе мы покажем, как установить и опубликовать приложение в Server
Farm и как наиболее эффективно управлять такими приложениями.
Выбор совместимого приложения
Приложение должно быть совместимо с NT/Windows 2000. Приложение не
обязательно должно быть совместимо с платформой клиента - приложения
Windows могут быть доставлены на клиенты Mac и Unix. а при использовании
MetaFrame for Solaris, приложения UNIX могут быть доставлены клиентам
Windows. Приложения должны быть по возможности 32-битными: 32-битные
приложения совместно используют память, могут быть многопоточными, и
используют все преимущества 32-битной архитектуры Windows 2000.
Приложения DOS и 16-бит Windows будут работать в виртуальной машине
NTVDM (NT Virtual DOS Machine). Microsoft выпустила спецификацию для 32битных приложений Windows 2000 и предусмотрела пожелания к программам,
которые должны быть совместимыми с терминальными службами:



Блокировка файлов
Файлы не должны блокироваться во время использования,
поскольку это может мешать одновременной работе нескольких
экземпляров приложения (или процессов внутри приложения).
Права к файлам
Пользователи не должны иметь доступа к системным файлам и не
должны иметь тот же уровень привилегий, что администратор,
который инсталлировал приложение.
Размещение файлов
Пользовательские файлы и файлы настроек должны храниться
отдельно друг от друга. Приложения должны хранить временные
файлы в каталогах пользователя для избежания конфликтов. Для
этого следует использовать вызов API GetTempPath, вместо явного
указания каталога временных файлов.
Для 16-битных приложений Windows необходимо преобразование вызовов в 32битный код, выполнение его, а затем повторное преобразование в 16 бит. Эта
процедура занимает много времени и требует на 20% больше ресурсов по
сравнению с 32-битными приложениями. Поэтому производительность 16-битных
приложений Windows и DOS существенно ниже.
Приложения DOS самые проблематичные. Они накладывают массу ограничений
и сильно ограничивают производительность терминального сервера. Некоторые
приложения DOS требуют прямого доступа к видеосистеме для вывода на экран,
что не только несовместимо с терминальными службами, но может быть вообще
не совместимо с Windows 2000. Одно из наиболее разражающих ограничений
DOS - это размер экрана. Приложения DOS не могут работать в полноэкранном
символьном режиме ни в одном клиенте, кроме DOS-клиента MetaFrame. Одним
из способов обхода этой проблемы является изменение шрифта сеанса DOS.
Удачным решением является шрифт DOSfon, доступный по адресу www.uwesieber.de/english.html. Некоторые приложения DOS пытаются захватить всю
доступную память, так что одно приложение может занимать целый гигабайт
RAM. Примером тому может служить FoxPro for DOS. К счастью, использование
памяти в нем можно ограничить, добавив в файл config.fp строку:
MEMLIMIT=60,4096,8192 .
Некоторые приложения DOS требуют правильно настроенного уникального
рабочего окружения. В такой ситуации можно создать BAT-файл, в котором
сначала настраивается окружение, а затем запускается приложение. Некоторые
приложения DOS требуют установки переменных окружения или PATH. Пример
BAT-файла:
@echo off
set datapath=h:\%username%\appdata
start /B application.exe
Этот BAT-файл можно опубликовать вместо оригинального приложения.
Установка приложения на сервер
Без приложений сам по себе терминальный сервер мало что стоит. Хотя
некоторые веб-программисты находят Notepad критически важным
приложением, другим этого недостаточно. Установка приложений на
терминальный сервер Windows 2000 слегка отличается от установки на
однопользовательской платформе. Терминальные службы должны следить за
всеми изменениями, которые приложение делает в реестре, а также за общими
файлами, чтобы иметь возможность донести эту информацию до каждого
пользователя, регистрирующегося на сервере.
Установка приложения на терминальном сервере может делаться двумя
способами.
Пользовательский режим (User-Specific)
В этом режиме терминальные службы не следят за изменениями, которые
приложение делает на сервере, а все файлы копируются в домашний каталог
пользователя. Установка приложений в этом режиме не отличается от установки
на обычной рабочей станции. Вам следует зарегистрироваться на сервере под
обычным пользователем и запустить обычную процедуру установки. Возможно,
вам придется временно дать административные права этому пользователю.
Затем эти права следует отобрать. В этом режиме приложение будет
использоваться только пользователем, его установившим. Все изменения
реестра, файлы INI и DLL будут находиться в каталогах пользователя Windows и
systems и не будут раздаваться другим пользователям. Для каждого
пользователя, требующего это приложение, необходима отдельная инсталляция.
Для некоторых приложений необходим этот тип устиановки, но это означает, что
для каждого нового пользователя администратору придется регистрироваться
под этим пользователем и делать установку. Пользовательский режим также
требует больше места на диске, а обновления могут делаться только отдельно
для каждого пользователя.
Глобальный режим (User-Global)
Это рекомендуемый режим для установки программ на терминальном сервере. В
этом режиме все INI и DLL копируются в системный каталог windows и system, а
все изменения реестра помещаются в отдельный раздел, называемый Shadow
Registry. Перевод системы в глобальный режим может быть сделан двумя
способами. Первый состоит в ручном переводе терминального сервера в режим
установки вводом с командной строки команды:
change user /install
Оставьте командную строку открытой и установите приложение. Если
приложение не требует перезагрузки, выполните команду
change user /execute
для перевода системы в режим исполнения. Это выключает слежение за
реестром и дает системе знать, что инсталляция завершена. Если приложение
требует перезагрузки, то система автоматически переводится в режим
исполнения.
Второй способ заключается в использовании Панели Управления и компонента
Add/Remove Programs.
1. Откройте панель управления, дважды щелкните иконку
Add/Remove Programs.
2. Выберите Add New Programs и щелкните на значок CD или флоппидиска для выбора программы установки.
3. По умолчанию этот диалог показывает только файлы Setup.exe и
install.exe. Если приложение представляет собой, например,
архив WinZip, измените тип файла на "Programs" и тогда будут
показаны все файлы .EXE, .CMD, .BAT, и т.п.
4. Нажмите Next для начала установки
5. Установите приложение как обычно, а по завершении щелкните
Next и Finish для закрытия диалога. Это переводит систему в
режим исполнения.
С выпуском Microsoft Windows Installer изменился способ установки приложений
Microsoft на терминальный сервер. Теперь Microsoft предлагает устройство,
называемое трансформами (transforms to modify). Эти трансформы разрешают
или запрещают отдельные функции приложения. Например, Microsoft Office 2000
можно установить только с помощью файла трансформы. Это запрещает
использование анимированных ассистентов. Опция "Installed on First Use" в
терминальном сервере недоступна, поскольку при попытке ее использования
программа попросила бы вставить CD. Для использования трансформы вы
должны установить Office 2000 Resource Kit, а также установить Custom
Installation Wizard и the Terminal Server Tools. Это создаст программную группу
Microsoft Office Tools/Microsoft Office 2000 Resource Kit Tools. Из этой группы
запустите мастера Custom Installation Wizard:
1. Вставьте CD Office 2000
2. Щелкните Next для продолжения.
3. На экране "Open the MSI" выберите файл data1.msi на CD Office
2000 и щелкните Next
4. На экране "Open the MSI File" выберите папку "\Program
Files\ORKTools\ToolBox\Tools\Terminal Server Tools" и выберите
файл трансформы termsrvr.mst.
5. Щелкните Next для применения трансформы к MSI
6. На экране "Select MST File to Save" укажите новое имя файла для
новой создаваемой трансформы. Щелкните Next.
7. На экране "Specify Default Path and Organization" укажите каталог
установки Office. По умолчанию это "program files", но я обычно
устанавливаю в "n:\program files\Microsoft Office", чтобы не
устанавливать на системный раздел. Укажите наименование
организации и щелкните Next
8. На экране "Remove Previous Versions" выберите, какие версии вы
хотите удалить. Выберите "Default Setup Behavior" и щелкните
Next.
9. Экран "Set Feature Installation States" позволяет выбрать
устанавливаемые приложения. Я рекомендую НИКОГДА не
выбирать "Installed on First Use". Это требует вставки CD и
установки дополнительных программ без вашего согласия.
Щелкните Next.
10.На следующем экране, "Customize Default Application Settings", вы
можете указать файлы ops, созданные мастером профилирования
(Office Profile Wizard). Если у вас есть такой файл, выберите его и
щелкните Next.
11.Экран "Add Files to the Installation" позволяет вам добавить файлы,
которые должны скопироваться при инсталляции. Это полезно для
копирования шаблонов рабочих групп или других заранее
настроенных файлов. Щелкните Next.
12.Экран "Add Registry Enteries" аналогичен предыдущему, он
используется для внесения изменений в реестр. Щелкните Next.
13.Экран "Add, Modify, or remove Shortcuts" позволяет создать или
удалить ярлыки. Это предотврящает появление ярлыков "Open
Office Document" и "New Office Document" в меню "Start". Щелкните
Next.
14.Экран "Identify Additional Servers" не нужен на терминальном
сервере. Здесь указывается общее место, которое могут
использовать пользователи для установки дополнительных
компонентов. Щелкните Next.
15.Экран "Add Installations and Run Programs" позволяет
идентифицировать другие программы, которые вы хотите
запустить вместе с Setup. После установки Office, Setup выполняет
каждую из указанных команд. Добавьте эти команды, если
необходимо, и щелкните Next.
16.На экране "Customize Outlook Installation Options" вы можете
настроить опции Outlook 2000. Внесите желаемые изменения и
щелкните Next.
17.На экране "Customize IE5 Installation Options" укажите, как должна
обрабатываться установка Internet Explorer 5. Windows 2000
включает в себя IE 5.0, пожтому вам не нужно устанавливать его
еще раз, если CD не модержит более свежую версию. Щелкните
Next.
18.Экран "Setup Properties" позволяет добавить или изменить
некоторые свойства установки. Обратитесь к файлу справки за
разъяснениями их значений. Щелкните Next, а затем Finish.
19.По завершении работы мастера он сообщит вам командную строку,
с помощью которой вы будете устанавливать Office 2000:
20.
setup.exe TRANSFORMS=M:\temp\TEST.MST /qn+
21.Выйдите из мастера и используйте эту команду для установки
Office 2000 через Add/Remove Programs панелои управления
Подробная информация р мастере профилирования находится на компакт-диске
Microsoft Office 2000 Resource Kit.
Тестирование приложений
Все приложения перед вводом в эксплуатацию должны быть тщательно
проверены. Для этого:
1. Создайте обычного пользователя
2. Зарегистрируйтесь под этим пользователем и выполните каждую из
задач, которые этот пользователь решает в течении деня.
3. Проверьте открытие, редактирование, печать, сохранение файлов
4. Обеспечьте проверку приложения реальными пользователями во
всех режимах.
5. Проверьте даже неиспользуемые процедуры - вдруг они
понадобятся в будущем.
6. Если приложение не работает под обычным пользователем,
попробуйте запустить его под администратором. Возможно, это
связано с правами доступа. Эти проблемы можно обнаружить
мониторингом доступа к реестру и к файлам. Воспользуйтесь
такими утилитами, как NT File Monitor и NT Registry Monitor,
которые бесплатно доступны на сайте www.sysinternals.com.
Вы можете обнаружить, что приложение имеет проблемы, например,
интенсивное использование CPU, утечка памяти, некорректный выход. Создание
скриптов совместимости приложений (Application Compatibility Scripts) для
настройки окружения позволяет контролировать такие приложения. Citrix
Resource Management Services можно настроить для уведомления о том, что
превышен заданный порог использования CPU. Часто используется практика
ночной перезагрузки сервера для удаления паразитных процессов и утечек
памяти. Вы можете использовать Планировщик Задач для запуска следующего
скрипта каждую ночь:
@ECHO off
rem необходимы программы sleep.exe и shutdown.exe из Windows 2000
Resource Kit.
CHANGE LOGON /DISABLE
MSG * Сервер закончит работу через 10 минут. Сохраните работу и выйдите
из системы.
SLEEP 300
MSG * Сервер закончит работу через 5 минут. Сохраните работу и выйдите
из системы.
Rem Ждем 5 минут
SLEEP 300
FOR /F "tokens=1,3,4 delims==" %%i IN ('quser') DO IF "%%k"=="active"
LOGOFF %%j
FOR /F "tokens=1,2,3 delims==" %%i IN ('quser') DO IF "%%k" == "disc"
RESET SESSION %j
NET STOP SPOOLER
DEL /Q /F %systemroot%\system32\spool\printers\
NET START SPOOLER
SHUTDOWN /L /R /T:1 /C
:end
Вы можете на сервере www.thethin.net обратиться к архивам и списку
рассылки за нужной информацией.
Чтобы убедиться, что все работает, вы можете выполнить следующие шаги:
1. При участии пользователей разработайте скрипт, который
покрывает все повседневные задачи, включая создание отчетов,
печать, частые запуски приложений типа Crystal Reports или
Microsoft Excel.
2. Заставьте пользователя записать время, требуемое для выполнение
каждой задачи и сравните его с времением выполнения скрипта на
обычной рабочей станции.
3. Для обеспечения правильных результатов определите
максимальное количество клиентов, зарегистрированных в системе
и активных.
4. Во время тестирования используйте Performance Monitor для
анализа использования процессора и памяти.
5. В объекте Terminal Services Session Performance выберите
показатели % Processor Time, Total Bytes и Working Set, затем
подсветите все сеансы ICA, которые щапускают приложение.
6. Добавьте эти показатели в график и пусть пользователи начнут
работу.
7. Добавьте еще пару показателей - из объекта Memory Object
выберите Available Mbytes, а из Processor Object добавьте %
Processor Time.
8. Наблюдайте, как пользователи регистрируются, используют
приложения, выходят, наблюдайте использование памяти каждым
сеансом и двумя системными показателями.
9. Когда показатель % Processor Time достигнет 60%, считайте это за
максимум. (Хотя Microsoft устанавливает максимум 80%, мы делаем
допуск для отказоустойчивости).
Считайте память полностью использованной, когда остается свободной 20-25%.
Если использование памяти достигло 100%, выясните, какой сеанс забрал
больше памяти, чем требуется. Свяжитесь с пользователем и проясните
ситуацию. Если это происходит часто, возможно, вам следует в сервер добавить
больше памяти.
Теневой регистр
Сегодня большинство приложений при установке добавляют значения в ветвь
реестра HKEY_CURRENT_USER. Как говорилось ранее, перевод системы в режим
инсталляции либо с командной строки, либо через Add/Remove Programs,
указывает системе следить за изменениями файлов INI и реестра. Эти изменения
сохраняются в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Terminal Server\Install, а INI файлы, устанавливаемые в
в каталоги windows или windows\system записываются в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Terminal Server\Compatibility\IniFiles. Для понимания
разных букв дисков и каталогов, упоминаемых в следующих разделах, мы будем
использовать следующие определения:

<HomeDrive> (Домашний драйв)
Используется для обозначения буквы диска, указанного в профиле
объекта User в компоненте Active Directory Users and Computers



<HomeShare>
Используется для обозначения UNC, назначенному Домашнему
диску.
<RootDrive> Используется для обозначения буквы драйва, который
заменяется на <HomeDrive> и <HomeShare>.
<HomeSpace>
Общий термин, используемый для обозначения места размещения
пользовательских файлов и установок.
При регистрации в системе нового пользовтеля, система проверяет его каталоги
windows и windows\system в поиске файлов INI, записанных в
...\Compatibility\IniFiles и копирует эти файлы, если они не существуют или
имеются более свежие копии, из системного каталога сервера в
пользовательский <HomeShare>. Для каждого пользователя система
автоматически создает отдельный <HomeShare> и каталоги \windows и
\windows\system для хранения файлов INI, DLL и прочих файлов, нужных
приложению. Если в системном каталоге \winnt существуют более свежие
копии, старые переименовываются с расширением .CTX, а новые копируются в
полдьзовательские \windows и \windows\system.
При запуске проиложения оно может обращаться к ключам реестра, которые не
существуют в пользовательском контексте HKEY_CURRENT_USER. В этом случае
система проверяет HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Terminal Server\Install, и если там есть нужный ключ, он
копируется в правильное место в ветви HKEY_CURRENT_USER. Если приложение
использует вызов API GetPrivateProfileString() для доступа к INI-файлу, который
не существует в пользовательском каталоге \windows, то система будет искать
его в %systemroot%. Если файл найден, он копируется в <HomeShare>
пользователя в каталог \Windows.
Скрипты совместимости приложений
Скрипты совместимости приложений (Application Compatibility Scripts -ACS)
помогают настроить окружение для приложений, не написанных специально для
многопользовательской среды. Microsoft предлагает несколько готовых скриптов
при установке Terminal Services. Эти скрипты выполняют необходимые
изменения для большинства популярных приложений. Они перечислены в
таблице.
cofc8ins.cmd
Corel WordPerfect Suite 8
coffice7.cmd
Corel Office 7
coffice8.cmd
Скрипт установки Corel WordPerfect Suite 8 для
администратора
diskpr20.cmd
DiskKeeper 2.0
eudora4.cmd
Eudora Pro 4.0
msexcl97.cmd
Самостоятельный Excel 97
msproj95.cmd
Microsoft Project 95 Multiuser Application Tuning
msproj98.cmd
Microsoft Project 98 Multiuser Application Tuning
mssna30.cmd
SNA Server 3.0
msvs6.cmd
Microsoft Visual Studio 6.0
msword97.cmd Самостоятельный Microsoft Word 97
netcom40.cmd
Netscape Communicator 4
netnav30.cmd
Netscape Navigator 3.x
odbc.cmd
ODBC. Всегда запускайте этот скрипт и
переводите систему в режим инсталляции до
создания любого источника данных
ofc43ins.cmd
MS Office 4.3 - отредактируйте и запустите этот
скрипт
office43.cmd
MS Office 4.3
office95.cmd
Microsoft Office 95 - обязательно прочтите
инструкции в конце.
office97.cmd
Microsoft Office 97
outlk98.cmd
Outlook 98
pchtree6.cmd
PeachTree Complete Accounting 6.0
pwrbldr6.cmd
Power Builder 6.0
sna40cli.cmd
SNA Client 4.0
sna40srv.cmd
SNA Server 4.0
ssuite9.cmd
Lotus SmartSuite 9
ssuite97.cmd
Lotus SmartSuite 97
visio5.cmd
Visio 5.0
winmsg.cmd
Windows Messaging
Большинство из этих скриптов помещают скрипт регистрации в каталог
\Application Compatibility Scripts\logon и вызываются из скрипта
usrlogon.cmd.
Ниже приведено содержимое файла usrlogon.cmd.
@Echo Off
Call "%SystemRoot%\Application Compatibility Scripts\SetPaths.Cmd"
If "%_SETPATHS%" == "FAIL" Goto Done
Rem
Rem Это для скриптов, не требующих Rootdrive.
Rem
If Not Exist "%SystemRoot%\System32\Usrlogn1.cmd" Goto cont0
Cd /d "%SystemRoot%\Application Compatibility Scripts\Logon"
Call "%SystemRoot%\System32\Usrlogn1.cmd"
:cont0
Rem
Rem Определяем букву драйва домашнего каталога пользователя.
Rem Если она не определена, выходим.
Rem
Cd /d %SystemRoot%\"Application Compatibility Scripts"
Call RootDrv.Cmd
If "A%Rootdrive%A" == "AA" End.Cmd
Rem
Rem Назначить букву драйва домашнему каталогу пользователя
Rem
Net Use %Rootdrive% /D >NUL: 2>&1
Subst %Rootdrive% "%HomeDrive%%HomePath%"
if ERRORLEVEL 1 goto SubstErr
goto AfterSubst
:SubstErr
Subst %Rootdrive% /d >NUL: 2>&1
Subst %Rootdrive% "%HomeDrive%%HomePath%"
:AfterSubst
Rem
Rem Запускаем каждый скрипт. Application Scripts автоматически
добавляются
Rem к файлу UsrLogn2.Cmd при запуске скрипта установки.
Rem
If Not Exist %SystemRoot%\System32\UsrLogn2.Cmd Goto Cont1
Cd Logon
Call %SystemRoot%\System32\UsrLogn2.Cmd
:Cont1
:Done
Этот скрипт сначала вызывает setpaths.cmd для настройки переменных
окружения. Это позволяет в остальных скриптах не указывать точные маршруты.
Затем UsrLogon.cmd проверяет существование файла usrlogn1.cmd,
создаваемого в том случае, когда установленный скрипт совместимости не
нуждается в <RootDrive>, и, если он есть, выполняет его.
Usrlogn1.cmd вызывает другие скрипты из каталога \winnt\Application
Compatibility Scripts\logon. Usrlogon.cmd затем проверяет, установлена ли
переменная <RootDrive>, и в случае положительного результата проверки
запускает команду subst для подключения <RootDrive> к пользовательскому
каталогу %homedrive%%homepath%. UsrLogon.cmd затем вызывает usrlogn2.cmd,
который в свою очередь вызывает другие скрипты, нуждающиеся в <Rootdrive>.
ACS содержат процедуру, называемую <RootDrive>. Эта процедура разработана
для компенсирования недостатка NT 4.0, которая не могла переназначить
корневой каталог буквы драйва за пределами share point, как это делает
команда MAP ROOT в Novell. Процедура <RootDrive> берет пользовательский
<HomeShare>, обычно \\server\users\%username%, и использует его в команде
subst для назначения драйва пользовательскому <HomeShare>. Используя
только функции NT, пользовательский <HomeShare> назначается на w:\jsmith.
С этим маршрутом было трудно настроить приложения, ссылающиеся на
W:\%username%; но с помощью <RootDrive> система может взять другую букву,
например, U:, и присвоить ее w:\jsmith, создавая корневой каталог "U:" на
<HomeSpace>. Тогда можно легко настроить приложения, указав каталоги
относительно U:\. Windows 2000 теперь может назначать корневой диск на
каталог, лежащий ниже share point; это очень эффективно.
При установке нескольких ACS вам будет предложено указать букву Rootdrive
путем открытия файла RootDrv2.cmd в Notepad. Указав нужную букву, закройте
Notepad и сохраните файл, а затем продолжите установку. Вы можете указать ту
же букву, что и для каталога пользователя, но в этом случае раскомментируйте
строчки subst в файле usrlogon.cmd в каталоге \winnt\system32. Это требует,
чтобы для каждого пользователя на закладке Profile его учетной записи были
установлены домашний драйв и каталог.
Если указаны драйв и каталог, вызов команды subst закончится неудачей и
будут сохранены настройки, указанные в AD. Если домашний драйв и каталог не
указаны, ом будет присвоена правильная буква драйва, и настройки приложений
будут помещены туда.
rem Net Use %RootDrive% /D >NUL: 2>&1
Subst %RootDrive% "%HomeDrive%%HomePath%"
rem if ERRORLEVEL 1 goto SubstErr
rem goto AfterSubst
:SubstErr
rem Subst %RootDrive% /d >NUL: 2>&1
rem Subst %RootDrive% "%HomeDrive%%HomePath%"
:AfterSubst
Вы легко можете создать собственные скрипты совместимости для приложений,
не указанных в таблице. Просто определите требования, которые предъявляет
приложение, и составьте скрипт для удовлетворения этих требований. Вот
пример ACS для Attachmate's Extra Client. Это приложение требует, чтобы
каждый пользователь имел каталог \extra\user. Этот скрипт запускается из
Usrlogn2.cmd, который в свою очередь вызывается из usrlogon.cmd. Он
проверяет Rootdrive пользователя наличие каталога \extra\user, и если этого
каталога не существует, создает его, а затем копирует начальные файлы из
каталога шаблонов программы.
@echo off
if not exist %homedrive%%homepath%\extra\user\. goto mkdir
goto end
:mkdir
md %homedrive%%homepath%\extra
md %homedrive%%homepath%\extra\user
goto copyfiles
:copyfiles
xcopy n:\extrawin\user %homedrive%%homepath%\extra\user /e >nul
goto end
:end
Публикация приложений
Публикация приложений - это метод, используемый для определения
приложения как особого объекта, к которому пользователь может получить
доступ. Это важнейшая концепция MetaFrame. Такие приложения могут
предоставляться пользователям в зависимости от их членства в группах
независимо от сервера, на котором находятся эти приложения. С выходом Citrix
MetaFrame for Solaris и грядущим выходом MetaFrame для других платформ
публикация приложений и Программное Окружение (Program Neighborhood)
предоставляет пользователю единый портал для доступа к приложениям на
гетерогенных платформах.
Использование менеджера опубликованных приложений
Публикация приложений настраивается в Менджере опубликованных
приложений (Published Application Manager). Он запускается так: Start | Programs
| MetaFrame Tools | Published Application Manager.
В Менеджере объекты приложения можно видеть двумя способами: Server и
Scope. Опция Server позволяет видеть приложения, опубликованные на
определенном сервере или на всех серверах. Scope позволяет видеть
приложения в перспективе домена NT или в перспективе Citrix Server Farm. В
большинстве случаев используется вид Server Farm и All Servers. Переключение
между видами осуществляется из меню View. При первом запуске Published
Application Manager, из меню Configure выберите Join Server Farm. Мастер
поможет вам присоединиться к существующему или создать новый. Когда ваш
сервер окажется в farm, вы можете начинать публиковать приложения.
Давайте начнем с Microsoft Word 2000:
1.
2.
3.
4.
5.
6.
7.
Из меню Application выберите New
Выберите сервер, на котором вы зарегистрировались
Укажите приложение. В нашем примере это Word 2000.
Если хотите, введите описание.
Выберите тип приложения Explicit.
Ведите или выберите путь к исполняемому файлу приложения.
Рабочий каталог вставится автоматически. Измените его при
необходимости.
8. Выберите, хотите ли вы максимизировать окно приложения и надо
ли прятать панель заголовка. Если выбрано Hide, заголовок
приложения не выводится, тем самым устраняется появление двух
заголовков - сеанса ICA и приложения.
Щелкните Next.
9. Выберите на следующем экране нужные опции и щелкните Next.
10.На следующем экране вы можете выбрать размещение
пиктограммы приложения прямо на рабочий стол пользователя или
в папку меню Start пользователя. Щелкните Next.
11.В следующем окне выберите группы пользователей, которым
разрешается доступ к приложению. Щелкните Next.
12.Следующий экран содержит список всех серверов, имеющейся в
вашей ферме. Если включено балансирование нагрузки, вы можете
добавить дополнительные серверы, содержащие это приложение, в
список Configured. Этот список указывает MetaFrame, какие
серверы способны предоставлять данное приложение
пользователям.
13.Щелкните Next и затем Finish для завершения мастера.
Хорошая практика состоит в создании отдельной группы для каждого приложения и
назначением этой группы как единственной, которой предоставлен доступ к данному
приложению.
Мультесессионные приложения
Приложения типа telnet могут инициировать несколько сеансов из одного сеанса
MetaFrame. Обычно такие приложения используют небольшую полосу
пропускания, но их большое количество может влиять на сетевой траффик,
необходимый другим приложениям. В таком случае вы можете подумать об
установке дополнительных сетевых карт в сервер и помещении их в разные
подсети. Разделив интерфейсы и установив статические маршруты, вы можете
направить траффик ICA через один интерфейс, а остальной траффик сервера через другой.
"Short and Drop"
Citrix Program Neighborhood позволяет пользователям для своих приложений
создавать ярлыки на рабочем столе. Для этого на машине пользователя
достаточно щелкнуть правой кнопкой мыши на пиктограмме и выбрать из меню
Create Desktop Shortcut.
Эти пиктограммы нельзя скопировать на рабочий стол другого пользователя; он должен
создать их сам.
Балансирование нагрузки
Поскольку не существует серверов, способных обслуживать тысячи соединений,
которое может потребоваться в большой компании, Citrix предлагает
дополнительный продукт, называемый Load Balancing Services (служба
балансирования нагрузки). Это исключительно мощный инструмент,
позволяющий комбинировать вычислительную мощь нескольких серверов в
единую "ферму" (Server Farm).
Установив единственное приложение на 80 серверов, каждый из которых
способен обслуживать 40 пользователей, одна пиктограмма в Program
Neighborhood может быть запущена 3200 пользователями независимо от того, на
каком сервере это приложение находтся. Этот метод также позволяет обновлять
приложение всего 80 раз вместо 3200, причем Citrix Installation Management
Services или скрипты позволяют автоматизировать этот процесс. Балансировка
нагрузки основана на производительности каждого индивидуального сервера и
рассчитывается на основе нескольких показателей:





Использование файла подкачки
Активность подкачки
Использование процессора
Загрузка памяти
Сеансы
Исходя их этих показателей рассчитывается коэффициент загрузки.
Балансировка нагрузки определяет сервер, которому следует направить запрос
клиента, через порт UDP 1604. ICA Master Browser из своего списка определяет,
какие серверы могут предоставить это приложение. Затем он запрашивает у этих
серверы коэффициенты загрузки. Он возвращает клиенту IP-адрес сервера,
имеющего наименьший коэффициент загрузки. Посколку ICA Master Browser
возвращает адрес сервера в пакете UDP, он не может пройти через межсетевой
экран (firewall). Если сервер находится за защитным экраном, реализующим NAT,
то клиент должен быть настроен так, чтобы запрашивать альтернативный адрес,
а каждый сервер должен быть проинформирован об альтернативном адресе.
Создание файлов ICA
Файлы ICA используются в технологии Citrix Application Launching and Embedding
(ALE) для предоставления информации о соединении ICA для Netscape Plug-In,
ActiveX, клиентов Java. Файл ICA может определять приложение двумя
способами: внедрением (embedding) и запуском (launching).


Внедренные приложения
В этом режиме приложения запускаются внутри окна браузера и
приложение запускается при загрузке страницы.
Запуск приложения
Этот метод предлагает пользователю нажать ссылку на вебстранице, которая открывает приложение в новом окне.
Для создания и редактирования файлов ICA используется обычный текстовый
редактор. Пример файла ICA показан ниже:
; Notepad.ICA - ICA file to access a Customer Database using Microsoft
Access
;
; The [ApplicationServers] section contains the name of the
; connection or published application defined by the ICA file.
; The name below (Access) appears in the title bar of the client
window.
;
[ApplicationServers]
Notepad=
; The section describes the attributes of the connection or
; published application defined in the [ApplicationServers]
; section above.
; The name in the square brackets must exactly match the name defined
in
; the [Application Servers] section above; in this example, Access.
;
[Notepad]
TransportDriver=TCP/IP
Address=192.168.100.13
WinStationDriver=ICA 3.0
Username=tmg
Domain=tmg-win2k
Password=010101010
InitialProgram=m:\winnt\system32\notepad.exe
WorkDirectory=m:\wtsrv\system32
UseAlternateAddress=0
;
KeyboardTimer=100
MouseTimer=50
;
; Use either ScreenPercent or DesiredHRES and DesiredVRES to specify
; the size of the client window.
;
ScreenPercent=75
DesiredHRES=640
DesiredVRES=480
DesiredColor=2
; The
[WFClient] section describes the WinFrame Client.
;
[WFClient]
Version=2
Секция [ApplicationServers] определяет удаленное приложение. Эта секция
содержит следующие поля:
[Application Server]
Заголовок секции. Он необходим.
EntryName=
Определяет имя удаленного приложения. После имени следует знак равенства.
Это имя используется для отображение в заголовке окна. В нашем примере это
Notepad.
Секция [EntryName]
Начинается c EntryName, определенного в секции [ApplicationServers] или
[Access]. Секция [EntryName] содержит следующие поля:
TransportDriver=
Тип транпорта. Обычно указывается TCP/IP, но допустимы значения IPX, SPX или
NetBIOS. Это необходимое поле.
Address=
Адрес удаленного сервера Citrix. Для TCP/IP это может быть имя DNS или адрес
IP. или имя опубликованного приложения. Для IPX, SPX и NetBIOS это может
быть именем сервера Citrix или именем опубликованного приложения. Это
необходимое поле.
WinStationDriver=ICA 3.0
Определяет протокол презентации ICA 3.0. Это необходимое поле.
Username=
Определяет регистрационное имя пользователя. Необязательное поле.
Domain=
Определяет домен для регистрации. Необязательное поле.
Password=
Определяет пароль пользователя. Необязаьельное поле. Если пароль указан, он
должен быть зашифрован. Для ввода зашифрованного пароля, используйте Citrix
ICA Client Remote Application Manager New Entry Wizard для создания записи
приложения. На вопрос имени и пароля, введите пароль. Завершите мастер.
Откройте файл APPSRV.INI в каталоге Windows и найдите в нем созданный вами
раздел. Скопируйте оттуда пароль и вставьте его в файл ICA.
ClearPassword=
Определяет текстовый незашифрованный пароль пользователя. Необязательное
поле. Для использования незашифрованного пароля поле Password должно быть
пустое (например, Password=).
InitialProgram=
Определяет путь к приложению на сервере Citrix, которое автоматически
запускается при подключении. Вы можете указать любое количество опций
командной строки. Это необязательное поле. Если оно не заполнено, будет
запущен Program Manager. Если имя лпубликованного приложения указано в
поле адреса Address, то имя опубликованного приложения в этом поле должно
быть с приставкой '#', например, #Database. Имя должно в точности совпадать с
именем в поле Address.
WorkDirectory=
Определяет рабочий каталог приложения.
ScreenPercent=
Определяет горизонтальное и вертикальное разрешение в пикселах как процент
от размера рабочего стола. Если это поле присутствует, то значения полей
DesiredHRES и DesiredVRES игнорируются.
DesiredHRES=
Определяет горизонтальный размер окна в пикселах.
DesiredVRES=
Определяет вертикальный размер окна в пикселах.
DesiredColor=1 | 2
Устанавливает глубину цвета. 1 означает 16 цветов, 2 - 256 цветов. По
умолчанию устанавливается 2 (256 цветов).
UseAlternateAddress=0 | 1
Это необязательное поле, используемое при доступе к Citrix через межсетевые
экраны. Экраны используют трансляцию адресов для преобразования открытых
(Интернет) адресов во внутренние приватные адреса IP. Если клиент ICA
настроен на адрес TCP/IP, он посылает прямую датаграмму UDP на сервер через
порт 1604. Для успешной связи между клиентом ICA и сервером Citrix через
экран, экран должен настроен так, чтобы пропускать пакеты UDP через порт
1604. Адрес сервера настраивается в Remote Application Manager выбором
Settings из меню Options. Если указано фиксированное размещение сервера,
клиент ICA запрашивает у сервера адрес ICA master browser. Если клиент ICA
подключается к серверу или опубликованному приложению по имени, ICA Master
Browser возвращает адрес желаемого сервера или опубликованного приложения.
Если указана опция UseAlternateAddress=1, клиент запрашивает альтернативный
IP-адрес сервера Citrix. Опцию UseAlternateAddress можно использовать только в
соединениях TCP/IP.
KeyboardTimer=value
Указывает интервал в миллисекундах накопления нажатий клавиш перед
посылкой на сервер Citrix. Значение по умолчанию 100 мс оптимизировано для
WAN; для модемных соединений или LAN уменьшение этого значения может
повысить реакцию системы. Использование слишком малого значения может
вызвать появления большого числа небольших пакетов в сети, что может
повлиять на ее производительность.
MouseTimer=value
Определяет интервал в миллисекундах накопления событий маши перед
отправкой на сервер. Значение по умолчанию 100 мс оптимизировано для WAN;
для модемных соединений или LAN уменьшение этого значения может повысить
реакцию системы. Использование слишком малого значения может вызвать
появления большого числа небольших пакетов в сети, что может повлиять на
производительность сети.
Раздел [WFClient]
Version=2
Определяет версию ПО клиента. Не меняйте это значение. Это необходимое
поле. TcpBrowserAddress=ipaddress
Определяет адрес IP сервера. Это поле необходимо, если используется
UseAlternateAddress=1
Для кеширования пиктограмм на стороне клиента при использовании веббраузера добавьте следующие строки:
PersistentCacheEnabled=On
PersistentCacheSize=42935633
PersistentCacheMinBitmap=8192
PersistentCachePath=C:\WINNT\Profiles\amitb\Application
Data\ICAClient\Cache
В секции для приложения добавьте строку:
PersistentCacheEnabled=On
Теперь кеширование пиктограмм должно заработать. Обратите внимание, что
если значения параметра в секциях приложения и WFClient отличаются, то
преимущество отдается настройке приложения. Значение PersistentCachePath
следует изменить на имя каталога для хранения кеша. Значения
PersistentCacheSize и PersistentCacheMinBitmap также могут быть изменены
сообразно вашим требованиям.
Для создания файла ICA выполните следующие шаги:
1. Откройте Менеджер опубликованных приложений:
Start/Programs/MetaFrame Tools и выберите Published Application
Manager.
2. Подсветите нужное приложение и из меню выберите Write ICA File
3. Выберите "A lot! Please explain everything" и щелкните Next
4. Выберите размер экрана для приложения. Вы можете выбрать
размер в пикселах или в процентах от размера экрана. Я обычно
использую 90% размера экрана, чтобы пользователи с одной
стороны видели окно, пропорциональное их экрану, а с другой
стороны могли отличить его от своего рабочего стола. Также вы
можете указать глубину цвета. На счет этого существует много
мнений, ибо глубина цвета влияет на производительность. Тут
простое правило - если приложению не требуется более 16 цветов,
то и не указывайте больше.
5. На следующем экране укажите уровень шифрования.
6. Укажите имя файла ICA.
7. Затем мастер предложит создать шаблон файла HTML. Выберите да
или нет.
8. Выберите тип запуска - embedded или launched. Следующие шаги
зависят от вашего выбора. Если вы выбрали "Launched", перейдите
к шагу 11.
9. Выберите Netscape Plug-In/ActiveX или Java Client.
10.Укажите размер окна.
11.Выберите, хотите ли получить подробную страницу. Подробная
страница содержит много комментариев и инструкций по
дальнейшему редактированию страницы, чтобы она удовлетворяла
вашим требованиям. Страница без подробностей содержит только
ссылку.
12.Введите имя файла или щелкните кнопку Browse и укажите, куда
сохранить файл.
Вот пример файла HTML, созданного мастером:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-88591">
<meta name="METAMARKER" content="null">
<title>Demo Application Page</title>
<script language="VBScript">
<!option explicit
dim majorver
dim ua
dim ie3
dim ie4
dim aol
dim minorver4
dim update
dim winplat
dim nav
dim intButton
set nav = navigator
ua = "Mozilla/2.0 (compatible; MSIE 3.02; Windows NT)"
minorver4 = ""
if len(ua) >=1 then 'nav object is supported
winplat = mid(ua,instr(ua,"Windows") + 8, 2)
majorver = mid(ua,instr(ua,"MSIE") + 5, 1)
ie3 = majorver = 3 and (winplat = "NT" or winplat = "95" or
winplat = "32")
ie4 = majorver = 4 and (winplat = "NT" or winplat = "95" or
winplat = "32")
update = instr(ua,"Update a")
aol = instr(ua,"AOL")
if ie4 then minorver4 = mid(ua,instr(ua,"MSIE") + 7, 3)
end if
->
</script>
</head>
<body>
<p>
<FONT color=#ffffff>
<!- DIRECT.EXE EMBED ->
<script language="JavaScript">
<!// YOU SHOULD ONLY NEED TO CHANGE THE VARIABLES BELOW.
//
// icaFile: location of the .ICA file for both the OBJECT and EMBED.
var icaFile = "po.ICA";
// width and height: pixel-size of the embedded application.
var width = 800;
var height = 600;
// start attribute: if Auto, application fires up upon pageload.
// If Manual, application waits to be clicked by user.
var start = "Auto";
// border attribute: On/Off, to specify border around application
window.
var border = "On";
// Want vertical/horizontal space around the app? Set these just like
// for the <IMG> tag.
var hspace = 2;
var vspace = 2;
// Where is the ActiveX CAB file located? It's probably best to leave
// this set to Citrix:
var cabLoc
="http://www.citrix.com/bin/cab/wfica.cab#Version=4,2,274,317";
// Where is the Plugins Reference page located? It's probably best to
// leave this set to Citrix:
var plugRefLoc = "http://www.citrix.com/demoroom/plugin.htm";
// END OF CHANGES. DO NOT CHANGE THE VARIABLES BELOW.
//
// The following is the ActiveX tag:
var activeXHTML = '<CENTER><OBJECT classid="clsid:238f6f83-b8b4-11cf8771-00a024541ee3" data="' + icaFile + '" CODEBASE="' + cabLoc + '"
width='
+ width + ' height=' + height + ' hspace=' + hspace + ' vspace=' +
vspace
+ '> <param name="Start" value="' + start + '"><param name="Border"
value="' + border + '"></OBJECT></CENTER>';
// And the Plugin tag:
var plugInHTML = '<CENTER><EMBED SRC="' + icaFile + '"
pluginspage="' +
plugRefLoc + '" width=' + width + ' height=' + height + ' start=' +
start +
' border=' + border + ' hspace=' + hspace + ' vspace=' + vspace +
'></CENTER>';
var userAgent = navigator.userAgent;
if (userAgent.indexOf("Mozilla") != -1) {
if (userAgent.indexOf("MSIE") != -1) {
if (userAgent.indexOf("Windows 3") > 0)
{ document.write(plugInHTML); }
else
{ document.write(activeXHTML); }
}
else
{ if (userAgent.indexOf("Win16") > 0) { document.write(plugInHTML); }
else { document.write(plugInHTML); }
}
}
//->
</script>
<noscript>
<a href="po.ICA">
Your browser does not support JavaScript! You'll have to click here to
launch the application.
</a>
</noscript>
</FONT>
</body>
</html>
Эти файлы можно поместить в каталог Web-сервера и они будут работать, если
Web-сервер и MetaFrame находятся в одной подсети. По умолчанию файл
указывает взять необходимые файлы для ActiveX, Netscape Plug-In и Java с сайта
www.citrix.com. Если клиенты не имеют доступа к Интернет, то поместите
файлы в открытую область вашего Web-сервера и отредактируйте HTML,
изменив этот URL. Клиент ActiveX и плагин Netscape должны быть доступны для
загрузки во время исполнения; они находятся в каталоге
\winnt\system32\clients\icaclients\ICAWeb на сервере MetaFrame.
Скопируйте эти файлы в общий каталог на Web-сервере.
Netscape
Для Netscape измените следующее:
var plugRefLoc =
Измените эту строку так, чтобы она указывала на каталог файлов плагина.
Например:
<html>
<a href="wfplug32.exe">Click here to download the Netscape Plug-in for
32-bit Windows</a>
<a href="wfplug16.exe">Click here to download the Netscape Plug-in for
16bit Windows</a>
<html>
Также установите в plugRefLoc URL предыдущего файла.
Internet Explorer
Для Internet Explorer укажите строку следующим образом.
var cabLoc =
Измените эту строку так, чтобы она указывала на каталог файлов .cab
компонентов ActiveX, например:
http://webserver/download/disks/disk1/ActiveX/wfica.cab#Version=4,2,274
,317
Глава 12: Использование Интернет
Для большинства компаний Интернет представляется будущим их бизнеса.
Однако, эта тенденция связана не только с Е-коммерцией, при которой проукция
продается через Интернет. Бизнес может полнее использовать свой
технологический потенциал расширением услуг в удаленные офисы, внедрением
схем Business-to-Business. Разделение приложений является эффективным
способом уменьшения стоимости информационных технологий и эффективным
способом установления отношений Business-to-Business (B2B). Внутри себя
компания может снизить затраты на лицензирование, расходы на сопровождение
путем стандартизации общих приложений и осуществлением обновления по
локальной сети. В отношениях B2B это устраняет необходимость для каждого
партнера покупать приложение, чтобы иметь возможность обмениваться
совместимыми файлами. Кроме того, развертывание приложений через Интернет
устраняет необходимость в покупке аппаратного и программного обеспечения
модемного доступа.
Citrix MetaFrame является решением, реализующие все эти возможности. Он
также имеет гибкий интерфейс. Приложения могут быть представлены так, как
будто они запускаются с локальной машины клиента, или их можно запускать
прямо из веб-браузера.
Предоставление доступа к приложению через Интернет
Общая стоимость владения (TCO)
Есть несколько вариантов немедленного снижения стоимости владения. Одним
из важнейших преимуществ является устранение необходимости в мощном
сервере и поддержка сотрудников в филиалах. Поскольку при подключении
через интернет устраняется необходимость физически настраивать каждый
компьютер пользователя, это значительно снижает затраты на поддержку
пользователей, установку у них приложений. Приложения устанавливаются на
центральном сервере, а на клиентских машинах нужен только веб-браузер.
Поскольку приложение находится на сервере, значительно упрощается
установка обновлений и заплат.
Кроме того, снижаются затраты на оборудование, поскольку модернизация
компьютеров становится необязательной. Поскольку основные вычисления
поизводятся на сервере, мощность локальной машины не имеет значения. Нужно
лишь чтобы локальная машина смогла запустить веб-браузер и могла достаточно
эффективно работать в Интернет.
Citrix MetaFrame поддерживает следующие веб-браузеры:
Операционная система
Браузер
Windows 3.1
Internet Explorer 4.1
Netscape Navigator 4.08
Windows NT
Internet Explorer 4.0
Internet Explorer 5.0
Netscape Navigator 4.01
Netscape Communicator 4.61
Windows 95/98
Internet Explorer 4.0
Internet Explorer 5.0
Netscape Navigator 4.01
Netscape Communicator 4.61
UNIX
Netscape Navigator 4.01
Linux
Netscape Navigator 4.01
Netscape Communicator 4.61
Mac
Netscape Navigator 4.01
Netscape Communicator 4.61
Примером снижения программных издержек являтся повышение
удовлетворенности и продуктивности удаленных пользователей, которым
больше не нужно беспокоиться об обновлении своих программ. При
использовании Citrix обновления делаются на сервере и сразу становятся
доступными пользователям. Кроме того, использование технологии тонкого
клиента снижает требования к пропускной способности канала связи. Поскольку
по сети передаются только обновления экрана, а вся обработка присходит на
сервере, значительно уменьшается траффик через Интернет. Централизованное
окружение сервера позволяет контролировать доступность приложений на
уровне предприятия, предотвращая повреждение пользователями важных
файлов.
Использование VPN для предоставления доступа пользователей удаленных
офисов в интрасеть также снижает стоимость владения. Большие Server Farms
дают большую производительность, чем настольные компьютеры или офисные
маломощные серверы. Передав все IT-операции провайдеру приложений
(Application Service Provider - ASP), компания может вообще отказаться от
департамента информационных технологий. Это дает выигрыш для небольших и
средних компаний. Им более не требуется покупать дорогостоящее
оборудование для индивидуальных сотрудников.
Обзор подключения через Интернет
Citrix поддерживает любые типы подключений как через Интернет, так и через
локальную сеть. Это включает машины, работающие под управлением Windows,
UNIX, Windows Terminal Server, Macintosh. Любой компьютер, способный
запустить браузер, совместимый с Citrix, может получить доступ к приложениям
через Интернетю
Использование Клиента MetaFrame и VPN
При использовании Citrix в VPN необходимо учитывать множество факторов,
чтобы обеспечить достаточную производительность. Хотя Citrix спроектирован
для работы на низкоскоростных линиях, активное эксплуатация пользователями
удаленного офиса некоторого приложения может вызвать перегрузку VPN или
другого типа соединения. По этой причине хорошим решением может стать
внедрение Server Farm, в котором серверы-члены находятся в удаленной сети.
Это позволяет при едином администрировании Server Farm обеспечивать более
высокие скорости соединения клиентов с серверами.
Если VPN может поддерживать весь траффик Citrix удаленной сети, необходимо
установить шлюзы ICA ( ICA Gateways) для обеспечения правильного
преобразования протоколов. Шлюзы ICA содержат списки, которые позволяют
клиентам и серверам Citrix обращаться к другим серверам Citrix, находящихся в
других сетях с другими протоколами. Шлюз необходим для правильного
функционирования Citrix в VPN или в WAN.
Server Farm
Исторически инсталляции в архитектуре "клиент-сервер" строились вокруг
установки программы на каждый сервер и предоставлении доступа
пользователей к конкретным серверам. Со временем выснилось, что одни
приложения используются чаще, другие - реже. Кроме того, степень
использования приложения в течении месяца варьируется. Например, такие
приложения, как Microsoft Word использются постоянно, а выписка счетов,
месячные отчеты в Microsoft Excel случаются чаще в конце месяца. В Server Farm
для обслуживания приложений ваделается несколько серверов, и на каждом из
них инсталлируется приложение. Для распределения работы используется
балансирование нагрузки.
Использование Web-браузеров
Одним из необходимых компонентов для публикации приложений в Интернет
является веб-сервер. Он обслуживает HTML-страницы, ссылающиеся на
приложения, и файлы .ICA, содержащую информацию о сервере приложений.
Microsoft Internet Information Server (IIS) работает в качестве веб-сервера и
может запускаться на сервере MetaFrame совместно с приложениями; однако
Citrix не рекомендует это делать. И веб-сервер, и сервер приложений должны
быть доступны каждому клиенту, который к ним обращается. Поэтому
необходимо правильно настроить права доступа к каждому серверу. При
установке новых приложений доступ к ним должен назначаться группам
пользователей. С помощью портала приложений NFuse, установленного на Citrix
MetaFrame, доступ к приложениям из Интернет может осуществлться через
процесс, называемый Application Launching and Embedding (ALE). Процесс ALE
Запукает приложение на сервере MetaFrame при щелчке на соответствующей
гипертекстовой ссылке. Существует два метода использования приложения,
запуск ( launching) и внедрение (embedding). Оба эти метода инициируются из
окна браузера, отображающего интерфейс клиента Citrix MetaFrame. С помощью
запуска приложения (Application Launching), приложение появляется в своем
собственном окне на рабочем столе клиента, отдельно от окна браузера, из
которого оно запущено. Внедрение приложения (Application Embedding) выводит
приложение внутри окна браузера, в среде HTML. Можно настроить приложения
так, чтобы они автоматически запускались при доступе к веб-серверу.
Для использования метода Application Launching, необходимо, чтобы на машине клиента
был установлден файл WFICA32.EXE. Этот метод может смутить пользователей,
думающих, что приложение запускается с их собственной машины. Если это
принципиально, попробуйте метод Application Embedding. Вид работающего приложения в
окне браузера обычно не вызывает много вопросов.
При публикации приложения через для использования с ALE создаются два
файла. Один из них - HTML-страница, содержащая ссылку на приложение, а
второй - файл ICA, используемый для установления правильного типа
соединения. Веб-страница содержит форматирование, необходимое для запуска
файла ICA и установления соединения. Файл ICA - это обычный тектовый файл,
содержащий только информацию о соединении ICA.
Последним компонентом является веб-клиент. Citrix MetaFrame может
использовать три клиента:



Netscape plug-in Client
Microsoft ActiveX Client
Java Client
Клиент для Netscape в виде плагина предназначен только для браузера Netscape
и нуждается в ручной установке.
Клиент Microsoft ActiveX распространяется на дискетте, хотя дискетта не нужна,
поскольку он автоматически загружается с корпортативного сервера при первом
запуске. Он работает с Microsoft Internet Explorer, но может использоваться
независимо от него.
Java Client требуют намного больше административного вмешательства. Однако,
при правильной установке он может использоваться практически на любой
машине с веб-браузером. Java Client может работать в двух режимах. Первый,
режим приложения, требует меньше вмешательства администратора и больше
знаний пользователя. В этом режиме Java Web Client находится на машине
клиента, на которой установлена виртуальная машина Java версии 1.1 или
выше. Этот метод позволяет пользователю инициировать соединение ICA с
командной строки и указать параметры сеанса. Созданный сеанс работает в
отдельном окне на рабочем столе и веб-браузер в этом случае не требуется.
Другой режим заключается в использовании апплетов Java. При этом требуется
больше усилий со стороны администратора, но проще для пользователей. В
режиме апплета клиент Java устанавливается на веб-сервере, где создаются
сессии. Эти сессии ICA инициируются клиентом из веб-браузера,
поддерживающего Java. При создании сессии клиент Java загружается с вебсервера и ассоциируется с файлами ICA. Затем клиент использует файлы ICA
для создания сеансов с сервером Citrix. Веб-браузер в этом случае должен
поддерживать JVM 1.1 или выше.
При использовании Интернет следует уделить особое внимание безопасности.
Защитный экран (firewall) является основным средством контролирования
Интернет и предприятия. Можно предпринять дополнительные меры, например,
устанвить демилитаризованную зону (DMZ) и технологии порталов. Для защиты
внешних соединений используйте SSL и Citrix Secure ICA.
Создание инсталляции
При публикации приложений для пользователей Интернет основная
конфигурация выполняется на этапе начальной установки. С использованием
Published Application Manager создаются файлы .ICA и .HTM. Эти файлы надо
вместе поместить в папку, куда указывает ссылка Published Application Internet.
1. Зарегистрируйтесь на сервере Citrix и запустите Published
Application Manager.
2. Щелкните правой кнопкой на имени опубликованного приложения,
из меню выберите Write ICA File.
3. Выберите степень ассистирования и щелкните Next.
4. Выберите атрибуты отображения приложения. Можно задать в
пикселах или в процентах от размера экрана. Это размер для окна
браузера, не обязательно для приложения. Выберите количество
цветов и щелкните Next.
5. Выберите уровень шифрования Basic. Для использования более
высоких уровней шифрования необходимо наличие
установленного Citrix Secure ICA Services.
6. Введите имя и каталог размещения файлов ICA. Этот файл будет
сохранен на общем ресурсе и к нему будет создана гипертекстовая
ссылка на веб-сайте.
7. Выберите, нужно ли создавать шаблон HTML для приложения. Если
не хотите, выберите No и нажмите Finish.
8. Если вы хотите создать шаблон, выберите Yes и щелкните Next.
Определение способа отображения приложения
Следующим шагом является определение способа отображения приложения на
компьютере клиента. Выбор одного из способов приводит к разным действиям;
мы рассмотрим оба случая.
Режим Launched
1. Выберите Launched и щеклните Next.
2. Если вы хотите получить комментированный HTML, выберите
Verbose.
3. Выберите имя и каталог сохранения шаблона HTM. Он должен быть
в том же public share, что и файл ICA.
4. Щелкните OK для завершения создания .файлов ICA и .HTM.
Режим Embedded
1. Выберите Embedded и щелкните Next.
2. Выберите желаемый тип веб-клиента ICA и щелкните Next. Выбор
Java Client требует больше работы.
3. Укажите ширину и высоту окна приложения. Это размер окна
браузера, а не приложения. Учтите, что клиенты могут быть
неспособны отображать окно бразуера больше чем 800x600.
4. Если вы хотите получить комментированный HTML, выберите
Verbose.
5. Выберите имя и каталог сохранения шаблона HTM. Он должен быть
в том же public share, что и файл ICA.
NFuse
NFuse - это технология портала приложений. Она позволяет интегрировать
интерактивные приложения в стандартном окне веб-браузера. NFuse совмещает
возможности интеграции с браузером технологии ALE и преимущества
Программного Окружения (Program Neighborhood). Это дает возможность
предоставлять прерсонализированные приложения пользователям через
Интернет и разрешать компаниям или специализированным провайдерам
приложений (ASP) создавать настроенную среду для конкретного пользователя.
Ключевые особенности NFuse:






Web-интерфейс к Program Neighborhood для упрощения доступа к
приложениям.
Динамически настраиваемый интерфейс пользователя.
Централизованное управление развертыванием приложений через
скрипты сервера и файлы ICA.
Настраиваемое разрешение имен в IP-адреса, устраняющее
необходимость в ICA Browser и UDP.
COM-совместимые объекты Java доступны из скриптов веб-сервера,
например, Java Server Pages и ASP.
Web Site Wizard упрощает создание веб-сайтов, использующих
NFuse.
NFuse совместим с большинством средств разработки веб-сайтов, например,
HotMetal, Microsoft FrontPage, Cold Fusion, Macromedia DreamWeaver. Страницы
NFuse можно расширить использованием COM-объектов и Java. Однако
поддержка Java не является необходимой. Но если вы решили использовать ICA
Java Client, то браузер должен иметь JVM, совместимую с ICA Java Client.
NFuse бесплатно доступен на сайте Citrix http://download.citrix.com. Там же
находится и документация.
Настройка компонентов NFuse
Для конфигурации NFuse необходимо сделать две нстройки. Службу NFuse
необходимо установить на одном из серверов Citrix в ферме, содержащей
требуемое приложение, а расширение NFuse необходимо установить на веббраузер, который будет представлять это приложение. После установки этих
компонентов опубликованные приложения автоматически будут отображаться в
списке приложений пользователя после его регистрации на сайте NFuse.
Атрибуты доступа к приложениям, устанавливаемые в Citrix Published Application
Manager, определяют, какие приложения доступны каким группам.
Установка службы NFuse на сервере Citrix
Службу NFuse достаточно установить только на одном сервере фермы. Однако,
вы можете установить ее на всех серверах, чтобы при выходе одного из них из
строя приложения оставались доступными пользователям Интернет. Следует
отметить, что при установки вы указываете порт, на котором ферма слушает
запросы от веб-сервера. По умолчанию это порт 80, но можно указать любой
порт, не используемый другими службами. Для определения открытых портов
введите команду:
netstat -a
Эта команда выводит все соединения и открытые порты.
Процедура установки NFuse:
1.
2.
3.
4.
5.
Зарегистрируйтесь на сервере Citrix.
Запустите программу установки NFuseForMF.EXE
На экране приглашения щелкните Next.
Щелкните Accept чтобы принять лицензионное соглашение.
Выберите Citrix NFuse Services и Web Site Wizard и щелкните Next.
Если вы не выберите Citrix NFuse Services, будет установлен только
Web Site Wizard. Если вы не выберите Web Site Wizard, вам
придется самим создавать веб-страницы вручную.
6. Выбрите каталог для установки Web Site Wizard.
7. Укажите попку по умолчанию для программы и щелкните Next.
8. Введите номер порта TCP, на котором служба NFuse будет слушать
запросы, поступающие от веб-сервера (по умолчанию 80) и
щелкните Next.
9. Подтвердите установку и щелкните Next.
10.По завершении установки щелкните Finish.
Установка расширений NFuse на веб-сервер
Инсталляция веб-компонентов минимальная. Однако, она требует на время
инсталляции остановки службы интернет на веб-сервере. Работающие службы
Web будут остановлены.
1.
2.
3.
4.
5.
6.
7.
8.
Зарегистрируйтесь на веб-сервере.
Запустите программу установки расширений NfuseWebExt.EXE.
На экране приветствия щелкните Next.
Появится диалог, предлагающий остановить службу IIS. Если вы
выберете Yes, это запретит доступ к вашим веб-страницам и
автоматически перезапустит службу по завершении инсталляции.
Если вы выберите No, установка завершится.
Щелкните Accept чтобы принять лицензионное соглашение.
Выберите каталог для установки веб-расширений.
Выберите тип установки и щелкните Next. Выбор NFuse Objects
установит все компоненты. Выбор Example Files установит файлы
примеров, которые помогут вам в создании веб-сайта.
Введите имя сервера Citrix, на котором установлена служба NFuse.
9. Введите порт, выбранный при инсталляции службы NFuse, и
щелкните Next.
10.Настройте корневой URL. Это каталог на физической файловой
системе веб-сервера, на который указывает основной URL. По
умолчанию \inetpub\wwwroot.
11.На экране подтверждения проверьте, что все правильно, и
щелкните Finish.
Использование Web Site Wizard для создания начального сайта
Мастер создает сайт, состоящий из общих страниц. Администратор может
воспользоваться веб-редактором, например, Microsoft Front Page, для
применения элементов, которые придадут сайту корпоративный вид.
Генерируемые страницы совместимы с большинством визуальных HTMLредакторами.
1. Зарегистрируйтесь на машине, на которой установлен Web Site
Wizard.
2. Запустите Web Site Wizard.
3. Щелкните Next на экране приветствия.
4. Щелкните Accept на экране лицензионного соглашения.
5. Выберите сервер MetaFrame, на котором работает служба NFuse.
6. Выберите схему, которая будет определять внешний вид вебстраниц
7. Выберите модель макета веб-страниц, которая совместима с вашим
веб-сервером и щелкните Next. Вы можете выбрать из Microsoft
Internet Information Server, Netscape Server или Apache (на базе
UNIX). Для каждой из моделей предлагаются два макета - на
основе тегов (использование стандартных тегов HTML) и на основе
скриптов (ASP или Java). Преимуществом модели тегов является
легкость реализации. Модель скриптов обеспечивает большую
функциональность.
8. При выборе Tag Based появятся дополнительные экраны. Введите
URL Mapping for Servlet, являющийся виртуальным машрутом к
сервлету NFuse; введите путь и URL к каталогу, где будут
опубликованы веб-страницы.
9. Выберите, как должны появляться приложения - в отдельном окне
или внутри веб-страницы.
10.Выберите вид ссылок, используемых для запуска приложений:
o В виде иконки
o В виде имени приложения
o Подробно, с выводом описания приложения.
o Показать папки - выводит дерево достпных приложений
o Разрешить пользователям видеть настройки приложений это добавляет на страницу кнопку, при нажатии которой
открывается страница настроек
11.Определите тип страницы регистрации и щелкните Next. Allow
Explicit требует от пльзователя указаня своего имени и пароля.
Allow Guest Logins позволяет любому выбирать опцию Log In as
Guest на экране Login. Дополнительно к опции Explicit вы можете
указать имя домена, но это создает повышенный риск, поскольку
это имя будет видно в исходном тексте HTML-страницы.
12.На следующем экране убедитесь, что все настройки правильные, и
щелкните Finish.
Примеры экранов Web-доступа
На этом рисунке показан пример рабочего стола, интегрированного в окно веббраузера, использующего для доступа файл .ICA:
На следующем экране показана страница регистрации:
На следующем экране показан пример, как выглядит список запускаемых
приложений, формируемый порталом NFuse. В данном случае были включены
параметры Show Icons, Show Names и Allow users to view application settings
А вот и пример приложения: в нашем случае Microsoft Word выполняется в окне
веб-браузера.
Влияние инфраструктуры
При размещении Citrix в Интернет, вы можете заметить много возможностей для
улучшения работы вашего оборудования и телекоммуникаций. В первую очередь
вам следует обратить внимание на межсетевые экраны (firewalls)
Требования к межсетевым экранам
1. Правильный внешний адес IP должен быть назначен на внутренний
сервер Citrix.
2. Порт 1494 для TCP/IP должен быть открыт.
3. Должны быть открыты порты 1025 и выше для исходящих
соединений.
На сервере Citrix запустите утилиту ALTADDR. Каждый сервер Citrix должен иметь
соответствующий адрес на firewall. Это делается этой командой на каждом
сервере, который должен быть отображен на альтернативный адрес. Например:
ALTADDR /SET InternalIPAddress ExternalIPAddress
Пусть внутренний адрес Citrix будет 10.3.2.1, а firewall преобразует этот адрес в
208.140.11.10. Тогда на сервере Citrix вы должны дать команду:
ALTADDR /SET 10.3.2.1 208.140.11.10
Вам также следует изменить файл Template.ICA на веб-сервере следующим
образом:
Address=[Nfuse_ipv4_AddressAlternate]
Последовательность соединения следующая:
1. Браузер клиента подключается к серверу IIS на порт 80, где при
необходимости запрашивает имя и пароль.
2. Расширение NFuse для IIS подключается к службе NFuse на
сервере Citrix, используя порт 81 (по умолчанию 80, но вы можете
указать другой).
3. Сервер Citrix (Server Farm) возвращает от ICA Master Browser всю
информацию о приложениях для этого конкретного пользователя.
4. Сервер IIS вставляет эту информацию в шаблон файла ICA,
создавая одновременно ссылки на веб-интерфейсе клиента для
упорядочивания файлов ICA.
5. При щелчке на пиктограмме в веб-браузере клиент загружает
соответствующий файл ICA и запускает локальный ICA-клиент.
6. ICA-клиент используя данную информацию открывает соединение
с сервером Citrix, обслуживающим указанное приложение,
используя порт по умолчанию 1494 (или иной, указанный в
шаблоне ICA-файла).
Если сервер Citrix защищен межсетевым экраном, вам необходимо открыть порт
1494. Превосходные документы находятся на Citrix Developer Network.
Вы можете назначить порты коммункации между веб-сервером и сервером
MetaFrame Server (например, 81, 82, 83 и т.д.), но ICA использует порт 1494 и
1604 UDP для коммуникации между клиентом ICA и сервером Citrix. (При
использовании NFuse UDP не требуется).
Для проверки правильности настройки межсетевого экрана используйте
стандартного клиента и подключитесь к серверу, указав вместо имени его
внешний IP-адрес. Если вы смогли подключиться, то порты на экране настроены
правильно.
При использовании NFuse информация о соединении обрабатывается на сервере,
а не на клиенте, и широковещательные пакеты UDP не требуются. При
подключении пользователя через страницу NFuse вам следует сконфигурировать
этот сервис на использование порта 80. Когда клиент выбирает приложение,
файл ICA создается на лету. Этот файл содержит IP-адрес наименее
загруженного сервера и не требует разрешения имен, поэтому отпадает
необходимости в использовании порта 1604. Когда пользователь получает ICAфайл, веб-сервер заканчивает свою часть работы и больше не нужен для
соединения.
Если вы изменили порт ICA на сервере командой ICAport, необходимо изменить
файл Template.ICA, добавив в него строку:
ICAPortNumber=номер порта
Для входящих соединений должен быть открыт порт TCP 1494, а для исходящих
должны быть открыты порты с 1025 по 65535
.
Глава 13: Оптимизация, мониторинг и устранение
неполадок
Когда сервер настроен и работает, администраторам следует управлять его
средой для достижения оптимальной производительности.
Администраторы должны выявлять узкие места и устранять их. Поскольку все
изменения делаются на сервере, администратору следует его оптимизировать.
Если приложения предоставляются с возможностью переназначения дисков и
принтеров, в технологии тонкого клиента возникает третий уровень сложности.
Пользователям требуется сообразительный администратор, способный решать
проблемы с такими приложениями и их печатью.
Оптимизация ресурсов
Windows 2000 и Terminal Services автоматически не настраиваются на
оптимальную конфигурацию в многопользовательской среде. Windows 2000
требует от нас настройки использования памяти и поведения приложений. Эта
настройка включает в себя изменения реестра и опций приложения.
Все процедуры, политики, вносимые изменения должны быть тщательно
задокументированы.
Удалите администратора домена из группы локальных администраторов.
Большие компании с большим числом администраторов должны ограничивать
административный доступ к терминальным серверам.
Эффективная процедура управления должна включать в себя слдующее:





Предусмотрите механизм тестирования изменений в лабораторных
условиях перед вводом в эксплуатацию.
Требуйте официальных санкций на изменения, когда система
находится в эксплуатации.
Предусмотрите контроль версий и процедуры резервного
копирования и восстановления во время тестирования.
Позвольте всем сторонам, материально заинтересованным в
изменениях, оценить влияние этих изменений.
Обеспечьте документирование разработки вашей фермы, включая
все предложенные изменения.
При внесении изменений в Citrix Server Farm сервер приходится надолго
отключать, что затрагивает множество пользователей. Поэтому необходимо
предусмотреть меры для скорейшего восстановления работоспособности
сервера. Для этого есть два основных способа: резервное копирование на ленту
или создание образа (imaging).
Резервирование на магнитную ленту
Это самый старый и самый медленный метод, но он может оказаться для вас
самым подходящим. Резервирование на ленту может производиться во время
работы сервера. У вас должно быть соответствующее программное обеспечение
и/или лицензии для копирования открытых файлов. При внедрении этого метода
сначала сделайте резервирование, а потом замените жесткий диск на чистый и
попробуйте сделать восстановление. Некоторые программы резервного
копирования плохо работают с переназначенными буквами драйвов, а другим
требуется несколько часов для восстановления нескольких гигабайт данных.
Засеките время восстановления и убедитесь, что сервер можно восстановить за
разумное время.
При резервировании не забывайте включать копирование реестра и системных
данных.
Создание образа
Создание образа жесткого диска такими программами, как Norton Ghost или
Drive Image Pro являются более поздним методом резервирования и
восстановления, а также для создания новых серверов из одного и того же
образа. Недостаток этого метода состоит в том, что сервер при создании образа
должен находиться в нерабочем состоянии. В идеале лучше иметь параллельный
сервер, который можно остановить и сделать с него образ; затем на нем можно
проверить изменения. Если они неприемлимы, делается восстановление с
образа. В случае успеха делается новый образ и объявляется "master image".
Этот образ далее применяется ко всем серверам фермы. Это гарантирует, что на
всех серверах будут установлены одни и тот же пакеты обновления, заплаты,
модификации реестра и т.п. Большинство образов среднего сервера занимают
около 2GB и требуют для восстановления около 20 минут.
Как-то я на одном большом заводе устанавливал несколько серверов MetaFrame для
предоставления доступа к Microsoft Office 97 для службы поддержки пользователей. Цель
состояла в уменьшении числа проблем, которые вызывали пользователи со своими
машинами. Мы настроили клиента на Windows NT Workstation 4.0, заблокировали рабочий
стол, назначили обязательные профили "только чтение". Мы настроили Program
Neighborhood для создания ярлыков Office на рабочем столе и поместили Outlook 98 в
группу автозагрузки. При регистрации запускался Outlook и устанавливалось соединение
ICA,позволяя остальным приложениям запускаться быстрее. Из-за обязательных
профилей мы использовали KiXtart (расширенный процессор скриптов регистрации, его
можно бесплатно взять на www.kixtart.org) для определения важных переменных для
настройки профиля Outlook.Мы использовали единый скрипт регистрации для всей
компании и логические операторы для определения того, какие операции следует
произвести в зависимости от принадлежности той или иной группе. Мы добавили раздел
для запуска процедуры конфигурации профиля Outlook на базе группы пользователя и
имени машины. Другой администратор добавил раздел таким образом, что наш раздел
пропускался. На следующее утро после регистрации никто не мог запустить Outlook.
После нескольких часов поисков причины, почему не создавался профиль, мы
обнаружили команду, вызывающую обход нашего раздела. Тот администратор не
подозревал, что его изменения затронут наш проект, но с точки зрения клиентов и
конечных пользователей это была наша ошибка. Вот почему вы должны иметь механизм
контроля изменений. Все ваши изменения должны быть проанализированы, одобрены и
задокументированы, чтобы в случае возникновения проблемы вы смогли быстро в ней
разобраться.
Рост числа пользователей
Один умный человек мне сказал, что для правильного определения числа
пользователей надо умножить их текущее число на процентный рост компании,
затем удвоить это число и добавить еще четыре. В идеальном мире эта формула
продержится около года. Однако, правильнее будет так: подсчитайте текущее
число пользователей, умножьте на 90%, вычтите шесть и надейтесь на лучшее.
Вот некоторые методы, позволяющие вам совладать с будущими планами.
Одним из способов состоит в создании стандартной платформы и обеспечении
работы всех серверов на одинаковом оборудовании. Это позволит вам настроить
один сервер, протестировать, а затем создать "золотой образ" и с него построить
остальные серверы. Использование "золотого образа" и избежание хранения
данных пользователей на серверах MetaFrame позволяет также обойтись одним
жестким диском. В случае выхода его из строя просто поставьте новый и
сделайте восстановление с образа.
Если по каким-то причинам стандартная платформа и образы неприемлимы, то
существуют другие методы масштабирования при росте числа пользователей.
Windows 2000 очень хорошо масштабируется в многопроцессорной среде, в
зависимости от приложений. Если использование CPU достигает 80%, то я
рекомендую не добавлять новых пользователей до тех пор, пока вы не
установите новые процессоры на существующий сервер или не увиличите общее
количество серверов. Не забудьте также проверить использование памяти.
Новые приложения
Вам следует тщательно тестировать новые приложения перед вводом их в
эксплуатацию. Нельзя инсталлировать новые приложения на живой работающий
сервер без проверки. Используйте программы типа WinRunner (Mercury
Interactive или WinBatch Wilson WindowWare. Эти программы позволяют
создавать скрипты для проверки приложений в автоматизированном режиме и
эмулировать от одного до 1000 одновременных пользователей. Используйте их
для проверки всех аспектов приложения, включая печать, копии экранов,
сохранение файлов, отправку почты и т.д.
Конфигурация для Интернет
Настройка машрутизаторов и коммутаторов для приоритетной обработки
траффика ICA или использования технологии packet-shaping компаний Packeteer
или Net Reality может повысить производительность и стабильность ICA.
В таблице показаны порты, используемые ICA и RDP. В зависимости от политики
компании порты UDP могут быть закрыты. Citrix решила это проблему в Feature
Release 1 и Service Pack 2. (А также в MetaFrame XP - Прим.перев.)
Протокол
Порт
TCP/UDP
ICA connection 1494
TCP
ICA browsing
1604
UDP
ICA XML
По умолчанию 80, но можно изменить TCP
RDP
3389
TCP
Установка соединения ICA может происходить двумя способами:


Если вы напрямую подключаетесь к конкретному серверу, а не к
опубликованному приложению, клиент посылает пакет TCP со
своего IP-адреса на IP-адрес сервера на порт 1494 со своего порта
из диапазона 1024 - 65535. Сервер затем отвечает клиенту на
исходный порт и начинает соединение.
Если вы подключаетесь к опубликованному приложению, процесс
немного иной. Клиент посылает пакет UDP на Master ICA на порт
UDP 1604 для запроса сервера, который может предоставить
приложение. ICA Browser отвечает сервером, способным
обслуживать данное приложение; если включено балансирование
нагрузки, он возвращает наименее загруженный сервер.
Если у пользователей возникают проблемы с подключением к вашему серверу,
точно определите симптомы. Публикуемые приложения зависят от порта UDP,
поэтому попросите пользователя напрямую подключиться к серверу. Если
соединение получается, то вы должны проверить:



Убедитесь, что траффик UDP может проходить через firewall.
Если filrewall делает трансляцию адресов, проверьте, что клиент
сконфигурирован с альтернативным адресом.
Проверьте, что сервер сконфигурирован на предоставление
альтернативного адреса утилитой altaddr.exe.
Мониторинг
Вы должны постоянно следить за производительностью сервера для
предупреждения появления узких мест и быстро их устранять в случае
появления. Для этого существует много средств.
Утилиты сеансов
Утилита Citrix Server Administration запускается из меню MetaFrame Tools или
командой mfadmin. Она используется для наблюдения за активностью
пользователей. На следующем рисунке показан интерфейс этой утилиты; в
левой панели раскрыт наш сервер, а в правой выбрана закладка Sessions:
Вы можете видеть:






Подключенных пользователей
Идентификатор сеанса
Используемый протокол (ICA или RDP)
Имя клиента
Как долго он находится в неактивном состоянии
Время регистрации
Следующий рисунок показывает закладку ICA Browser, на которой вы указали
роль сервера в сети браузеров ICA:
Для больших инсталляций для Master ICA Browser вы должны установить
значение "Always attempt to become the Master ICA Browser.", еще две или три
машины - как "No Preference.". Для остальных серверов должно быть
установлено "Do not attempt to become the Master ICA Browser.". При
использовании балансирования нагрузки укажите "Master ICA Browser Refresh
Interval" около 60 секунд. Этот параметр управляет скоростью обновления
информации о состоянии Master ICA Browser. Параметр "Master ICA Browser
Update Delay" определяет максимальное время ожидания клиентом.
Совет
Если ICA Master Browser работает на сервере, помимо этого предоставляющего
приложения, большая нагрузка может влиять на производительность службы ICA Browser,
вызывая ее остановку. При установки пяти и более серверов Citrix, я рекомендую в
качестве ICA Master Browser использовать отдельную маломощную машину с одним
процессором и 128-256MB RAM. На эту машину надо установить Windows 2000 Terminal
Services и Citrix MetaFrame.
Если на левой панели вы выберете пользователя, а на правой - закладку
Precesses, то увидите список процессов пользователя:
Закладка User Information показывает подробную информацию о каждом сеансе:












Имя зарегистрировавшего пользователя, который инициировал
сеанс на сервере
Имя компьютера клиента
Версия программы, установленной на компьютере клиента
Каталог, в котором установлен клиент
Идентификатор продукта клиента
Идентификатор оборудования клиента
Адрес клиента, если известен
Число буферов сервера и клиента
Глубина цвета и разрешение клиента
Имя модема елиента, если известно
Уровень шифрования, если используется
Лицензии, выданные клиенту
Вы можете использовать эту информацию, когда клиент сообщает вам о своих
проблемах, чтобы убедиться в правильности настроек. Это также позволяет
проверить версию клиента, уникальность имени, количество цветов, IP-адрес
клиента. Закладка Process покажет, какие еще запущены программы. Я
использую этот список процессов для мониторинга запускаемых приложений и
анализа их влияний на CPU и память.
В нижней части экрана утилиты Citrix Server Administration есть закладка
Published Applications:
Она повзоляет вам контролировать свою ферму с точки зрения приложений.
Выбор фермы в левой панели показывает покажет опубликованные в ней
приложения. Выбор индивидуальных приложений покзывает сервера, которые
их предоставляют, а также подробности по их размещению и рабочим каталогам.
Более важно то, что это показывает нагрузку приложений на разных протоколах.
Это число всегда должны находится в пределах 0-9998. Если число превышает
это значение, обратитесь следующей таблице за разъяснениями разных уровней
балансировки.
Уровень
нагрузки
Описание
9999
Не установлена лицензия балансировки нагрузки
0 - 9998
Нормальный уровень
10000!
Для этого сервера приложение запрещено
10000
Нагрузка сервера или приложения составляет 100%
10001
Сервер исчерпал лицензии
10002
Произошло одно из следующих: Порт слушателя недоступен; на
сервере запрещен вход; приложение запрещено; приложение
допускает анонимный доступ, но закончились все анонимные
лицензии.
Теневые сеансы
Теневые сеансы, пожалуй, являются самым лучшим когда-бы то ни было
изобретенным средством поддержки пользователей. Когда пользователь звонит
со своей проблемой, служащий службы поддержки может просто инициировать
теневой сеанс и наблюдать, какие действия выполняет пользователь. Далее он
может дать пользователю инструкции или взять на себя контроль над его
машиной и показать, что надо делать или изменить какие-то установки.
Теневые сеансы надо настроить до ввода в эксплуатацию. По умолчанию
соединение ICA настроено на наследование настроек пользователя, а настройки
пользователя по умолчанию позволяют теневые сеансы, интерактивное
вмешательство и уведомление. Интерактивное вмешательство означает, что
можно не только наблюдать за чужим сеансом, но и взаимодействовать с его
мышью и клавиатурой. Уведомление означает, что пользователь получит
сообщение:
Пользователь может принять или отклонить установление теневого сеанса. Если
уведомление отключено, пользователь не будет знать, что за ним кто-то
наблюдает, если не считать морганий экрана.
Для установки теневого сеанса необходимо самому зарегистрироваться, а затем
запустить панель Shadow. При этом открывается диалог:
После щелчка на OK открывается панель с кнопками сеансов:
С помощью этих кнопок вы можете переключаться между сеансами.
Теневые сеансы могут представлять угрозу безопасности и конфиденциальности.
Очень важно правильно для них настроить политику безопасности. По
умолчанию инициирование теневых сеансов разрешено только для групп
системы и локальных администраторов. Как уже указывалось, удаление группы
администраторов домена из группы локальных администраторов позволяет
ограничить доступ к теневым сеансам. Можно создать локлаьную группу
Shadowing и дать ей права установления теневых сеансов, а затем добавить в
эту группу индивидуальных пользователей.
Для изменения привилегий теневых сеансов откройте Citrix Connection
Configuration из группы MetaFrame Tools. Выберите ICA-tcp connection и из меню
Security выберите Permissions. Щелкните кнопку Advanced для вывода установок
привилегий. В этом диалоге укажите, какие группы и польователи имеют право
установления теневых сеансов. Выберите группу, щелкните View/Edit для
просмотра индивидуальных установок. Для включения привилегии теневых
сеансов, включите флажок Allow Remote Control.
Устранение неполадок
В интернет существуют много полезных ресурсов, которые могут помочь вам
справиться с возникающими сложностями. Я предпочитаю эти:

www.thethin.net
Веб-сайт и список рассылки.

www.thinplanet.com
Отличный сайт с форумами, новостями, банком резюме, списков
вакансий




Microsoft Knowledge Base
Citrix Knowledge Base
Форум Citrix
Форум на BrainBuzz
Помимо ошибок в программах и глупых пользователей вы столкнетесь с такими
проблемами:




Переназначение драйвов
Проблемы с подключениями
Файлы, загруженные пользователями (вирусы)
Печать
Переназначение драйвов
При установке MetaFrame спрашивает, хотите ли вы переназначать диски
сервера. Это помогает пользователям при подключении к серверу видеть свои
локальные диски. Если вы переназначаете буквы дисков сервера, они станут,
например, M:, N:, and O:. При подключении клиента он может назначить C: на
сервере на свой локальный диск C:. Если вы переназначили диски, но после
перезагрузки драйвы остались C:, D: и т.д., проверьте, не установлен ли
программный RAID (например, зеркалирование). MetaFrame не может
переназначить буквы, если системный диск зазеркалирован. Разбейте зеркало,
удалите раздел с другого диска и переустановите MetaFrame. После установки
MetaFrame восстановите зеркало.
Проблемы с подключением
Terminal Services и MetaFrame особенно эффективны при предоставлении
доступа к приложениям для пользователей по медленным каналам. Эти каналы,
особенно Интернет, могут быть очень нестабильными. Тайм-ауты, задержки,
обрывы связи могут вызывать в отключения сеансов и/или медленный ответ. Не
всегда возможно проложить более быструю связь, поэтому мы должны заняться
настройкой операционной системы. Вы можете подрегулировать:




Графику с малым количеством цветов
Отключение мерцания курсора
Отключение публикации всего рабочего стола
Использование технологии packet-shaping (Quality of Service)
Для отключенных сеансов мы можем настроить стек TCP/IP:
Увеличение размера буфера TCP/IP:
Измените размер буфера TCP/IP с 4356 до 14596:
"HKEY_LOCAL_MACHINE\System\CurrentContolSet\Services\LanmanServer\Paramet
ers"
Добавьте значение: SizReqBuf REG_DWORD:
Установите значение этого параметра 14596.
Цельный курсор
Установка курсора немигающим очень эффективно в низкоскоростных
соединениях. Мерцающий курсор посылает несколько байт данных при каждом
мерцании, и запрет мерцания экономит немного полосы пропускания.
HKEY_USERS/.default/Control Panel/Desktop
Установите значение CursorBlinkRate Reg_SZ -1
Скорость обновления меню Start
Вы можете увеличить скорость обновления, чтобы уменьшить время ответа в
меню.
"HKEY_USERS\DEFAULT\Control Panel\Desktop"
Добавьте значение: MenuShowDelay REG_DWORD: 10
Disable Paging Executive: Q184419
Для улучшения времени ответа запретите свопинг исполняемых файлов, чтобы
постоянно держать весь код ядра и драйверы в памяти. Это перемещает ядро и
драйверы в память. Microsoft рекомендует испоьзовать эту опцию только если
сервер имеет много RAM (более 1GB).
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session
Manager\Memory Management"
Установите значение DisablePagingExecutive 1
Изменение IOPageLockLimit: Q102985
Ограничьте число байт, блокируемых в операциях ввода/вывода.
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session
Manager\Memory Management"
Измените значения: Default 0, установленных MB памяти * 128. Переведите это
число в 16-ричный формат; например, для 1GB RAM это будет 1024MB * 128 =
131072. Введите это число как десятичное значение.
Установите кеш L2 процессора в 256KB и выше
Если кеш второго уровня больше 256К, измените реестр следующим образом
(будьте осторожны, это может замедлить сервер):
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Session Manager\Memory
Management"
Добавьте значение: SecondLevelDataCache REG_DWORD: 1024 (decimal)
Оключите Dr. Watson: Q188296
Dr. Watson - полезный инструмент, когда нужен, но пользователям не требуется
видеть отчеты об ошибках в своих сеансах.
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\AeDebug\Auto"
Значение 0 будет выводить сообщение об ошибке, когда работает Dr. Watson.
Значение 1 (по умолчанию) указывает отладчику стартовать при загрузук. Чтобы
не давать работать Dr. Watson, удалите подключ AeDebug. Чтобы вренуть Dr.
Watson, введите команду drwtsn32 -i.
Предотвращение загрузки файлов пользователями
Когда пользователи путешествуют по интернет, они могут случайно загрузить
словредные программы и даже вирусы. Для запрещения загрузки файлов в
Internet Explorer, сделайте следующее:
1. С командной строки введите user /install.
2. Запустите Internet Explorer, войдите в меню Tools и выберите
Security.
3. Для выбранной зоны щелкните кнопку Custom level и найдите в
списке позицию Download.
4. Запретите загрузку файлов и/или шрифтов.
5. Ближе к началу списка вы также можете запретить загрузку
разных типов активных компонентов ActiveX и Java.
6. Щелкните OK и закройте браузер.
7. С командной строки введите : change user /execute
Это запрещает загрузку для всех на сервере. Чтобы запретить ее только для
некоторой группы, это можно сделать с помощью групповой политики:
1. Откройте апплет Active Directory Users and Computers
2. Создайте новую организационную единицу (OU) и назовите ее
"Citrix Servers".
3. Поместите все серверы Citrix в эту OU.
4. Щелкните правой кнопкой мыши на OU и выберите Properties.
5. Выберите закладку Group Policy.
6. Щелкните New для добавления объекта и назовите его "Normal
Users".
7. Подсветите новый объект и щелкните Edit.
8. Найдите в объекте Windows Settings/Internet Explorer.
9. Выберите Security Key, и в правой панели дважды щелкните на
Security Zones и Content Ratings.
10.В разделе Security Zones выберите импорт текущих настроек
безпасности зоны.
11.Щелкните кнопку Modify Settings.
12.Выберите в списке зоны объект Internet.
13.Щелкните custom level и спуститесь к пункту Downloads.
14.Здесь вы можете разрешить или запретить загрузку.
15.Щелкните OK и закройте все диалоговые окна.
Печать
Я уверен, что печать доставляет вам, как администратору, больше всего хлопот.
Со всеми драйверами, серверами печати, почередями, связью, печать занимает
много вашего времени. Это справедливо и в терминальных службах. Если вы
используете только Terminal Services, то печать ограничена только классической
печатью Windows. Citrix MetaFrame позволяет автоматически переназначать
принетры на принтеры компьютеров клиентов. Тут лежит проблема: часто вы не
знаете, каким образом эти принтеры подключены к пользовательским
компьютерам.
Как работает печать
Печать в MetaFrame работает почти так же, как в обычной Windows 2000, за
исключением некоторых особенностей. При печати на сетевой принтер в LAN,
терминальные службы помещают задание в очередь для сервера печати как
обычно. Если пользователь печатает на принтер, подключенный к компьютеру
через USB, MetaFrame выводит задание на печать на локальный порт через
клиента ICA. В зависимости от скорости соединения и размера задания, заданию
может потребоваться несколько минут до начала печати. При запуске задания на
печать оно помещается в спулер и конвертируется в файл на том языке, который
понимает принтер. Часто такие файлы значительно больше, чем оригинальные
задания. Этот файл пересылается на спулер клиента. Эта пересылка файла
зависит от скорости соединения. Если клиент подключен через LAN, то печть
происходит быстро и пользователь почти не видит разницы с обычной печатью.
Но если это модемный клиент на низкоскоростной линии, эта передача файла
намного медленнее, и заданию требуется много времени для начала печати.
Устранение проблем с печатью
Многие проблемы с печатью связаны с разнообразием драйверов принтеров.
MetaFrame предусматривает механизм уменьшения количества драйверов,
используя механизм файла подстановки драйвера. Этот файл называется
wtsuprn.INF. На свежей системе он имеет имя wtsuprn.TXT. При модификации
он переименовывается в wtsuprn.INF. Этот файл позволяет вам использовать
один и тот же драйвер для нескольких моделей принтеров. Например, почти все
модели принтеров Hewlett Packard (HP) могут эмулировать HP LaserJet 4, а
большинство принтеров HP DeskJet могут эмулировать HP DeskJet 660C. Эти два
драйвера включены в Terminal Services и являются очень надежными и самыми
стабильными. Хотя Terminal Services включает большинство современных
драйверов, я предпочитаю использовать свой wtsuprn.INF. Смотрите также
замечания Hewlett Packard об использовании принтеров в Terminal Services.
Избегайте установки HP Printing System. HP теперь для большинства из своих принтеров
предлагает "корпоративные драйверы", которые включают в себя только сами драйверы,
без дополнений.
Приложение A: Секреты
Параметры Appsrv.INI
Файл appsrv.INI содержит настройки, которые определяют сервер приложений
и другие предпочтения. Клиент версии 4.20.715 и более поздний содержит
только информацию о Custom ICA connections. Для более ранних версий
клиентов этот файл содержал информацию обо всех соединениях.
Файл состоит из трех основных секций: WFClient, Application Servers и
Connection. Названия секций заключены в квадратные скобки. WFClient
содержит общие настройки, применяемые ко всем ICA-соединениям.
Application Servers содержит пронумерованный список соединений. Для
Connection каждое соединение имеет свою секцию; например, для
опубликованного приложения Wordpad это будет [Wordpad].
На клиентских машинах Windows 2000 многие секции в appsrv.INI перенесены в
другой файл. Соединения и настройки теперь хранятся отьельно для каждого
пользователя подобно тому, как Internet Explorer запоминает настройки разных
пользователей. При создании пользователем нового соединения, файлы
appsrv.INI, wfclient.INI и pn.INI на сервере Citrix копируются в персональный
каталог пользователя (по умолчанию C:\Documents and
Settings\username.domainname\Application Data\ICAClient).
Ниже приведен примерный файл appsrv.INI. Номера перед строками приведены
только для ссылки на них.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
[WFClient]
Version=2
LogFile=C:\Program Files\Citrix\ICA Client\wfclient.log
LogFileWin16=wfcwin.log
LogFileWin32=C:\Program Files\Citrix\ICA Client\wfcwin32.log
LogAppend=Off
LogConnect=On
LogErrors=On
LogTransmit=Off
LogReceive=Off
LogKeyboard=Off
Hotkey1Char=F1
Hotkey1Shift=Shift
Hotkey2Char=F3
Hotkey2Shift=Shift
Hotkey3Char=F2
Hotkey3Shift=Shift
Hotkey4Char=F1
Hotkey4Shift=Ctrl
Hotkey5Char=F2
Hotkey5Shift=Ctrl
Hotkey6Char=F2
Hotkey6Shift=Alt
Hotkey7Char=plus
Hotkey7Shift=Alt
Hotkey8Char=minus
Hotkey8Shift=Alt
Hotkey9Char=F3
HotKey9Shift=Ctrl
DisableSound=Off
DisableCtrlAltDel=On
MouseTimer=0
KeyboardTimer=0
ColorMismatchPrompt_Have16_Want256=On
ColorMismatchPrompt_Have64K_Want256=On
ColorMismatchPrompt_Have16M_Want256=On
DosConnectTTY=On
ConnectTTY=Off
ConnectTTYDelay=1000
TcpBrowserAddress=
IpxBrowserAddress=
NetBiosBrowserAddress=
BrowserRetry=3
BrowserTimeout=1000
LanaNumber=0
ScriptDriver=SCRIPT.DDL
ScriptDriverWin16=SCRIPTW.DLL
ScriptDriverWin32=SCRIPTN.DLL
ScriptFile=
50. PersistentCacheEnabled=Off
51. PersistentCacheSize=64424508
52. PersistentCacheMinBitmap=8192
53. PersistentCachePath=C:\Program Files\Citrix\ICA Client\Cache
54. UpdatesAllowed=On
55. COMAllowed=On
56. CPMAllowed=On
57. VSLAllowed=On
58. CDMAllowed=On
59. MaximumCompression=Off
60.
61. [Smartcard]
62. ;===========================================
63. ;== When SmartcardRequired=yes, connecting to a remote
64. ;
application will require a smartcard provided that no other
65. ;
remote applications are currently executing.N.B. When enabled
66. ;
with the 32-bit DOS client this also prevents the use of
insecure
67. ;
command line options including /iniappsrv.
68. ;== Omitted entry defaults to `Off'.
69. ;=================================================
70. SmartcardRequired=no
71. ;=================================================
72. ;== Setting a bypass switch to yes tells the system to get its User
73. ;
information from the commandline or appsrv.ini file instead of
the
74. ;
smartcard.
75. ;== Omitted entries default to `No'.
76. ;=================================================
77. BypassSmartcardDomain=no
78. BypassSmartcardUsername=no
79. BypassSmartcardPassword=no
80. ;=================================================
81. ;== Supported Smartcards
82. ;== MPCOS
- cards by Gemplus
83. ;== TB-1000
- cards by Microcard
84. ;-------------------------------85. ;== Supported values for CardReader key
86. ;== GCR410
- Gemplus GCR410 Smartcard reader
87. ;=================================================
88. CardReader=GCR410
89. ReaderPort=COM2
90. Timeout=1000
; given in milliseconds
91. [Common Default Information]
92. ProgramGroup=Citrix ICA Client
Строка 1 указывет на начало секции [WFClient].
Строка 2 показвает номер версии.
Строки 3 - 5 указывают размещение файла журнала.
Строка 3 указывает размещение файла журнала для 16-битного клиента DOS.
Строка 4 размещение файла журнала для 16-битного клиента Windows.
Строка 5 размещение файла журнала для 32-битного клиента Windows.
Вы можете изменить имена лог-файлов по своему вкусу. Данные можно
направлять на стандартный вывод или стандартное устройство вывода ошибок,
указав вместо имени файла stdout или stderr.
Строки 6 - 11 определяет опции журнализации. Значения по умолчанию
выделены жирным шрифтом.
Строка 6 LogAppend=Off. Журнал может либо создаваться в новом
файле, либо дописываться к существующему файлу. Укажите On для
добавления и сохранения истории, Off для перезаписи старых событий и
создания нового журнала.
Строка 7 LogConnect=On определяет, надо ли регистрировать события
подключения или отключения от сервера Citrix.
Строка 8 LogErrors=On. Регистрирует ошибки.
Строка 9 LogTransmit=Off используется для технической поддержки.
Если установлено On, это регистрирует каждый пакет информации,
передаваемой от клиента серверу.
Строка 10 LogReceive=Off также предназначена для технической
поддержки. Если установлено On, записыватся все пакеты, передаваемые
от сервера клиенту.
Строка 11 LogKeyboard=Off. Если установлено On, то все нажатия
клавиш и перемещения мыши записываются в журнал.
Строки 12 - 29 управляют настройками горячих клавиш. Будьте осторожны при
их ручном изменении. Для каждой горячей клавиши приводятся два значения символьное (char) и регистровое (shift).
Строки 12 13 соответствуют клавишам вызова панели задач (Task List).
Строки 14 - 15 соответствуют клавишам Close Remote Application. Это
завершает сеанс с сервером и закрывает приложение. Строки 16 17
соответствуют переключению Title Bar. Строки 18 19 соответсвуют
комбинации CTRL-ALT-DEL. Это посылает CTRL-ALT-DEL на сервер и
выводит окно регистрации. Строки 20 21 соответствуют CTRL-ESC. Это
посылает CTRL-ESC на сервер и выводится список удаленных задач.
Строки 22 23 соответствуют ALT-ESC; это вызывает цикл по
минимизированным и максимизированным окнам программ, работающих в
сеансе ICA. Строки 24 25 соответствуют ALT-TAB; это открывает окно со
списком программ, работающих в сеансе ICA и позволяет циклически
пройтись по ним. Строки 26 27 соответствуют ALT-BACKTAB; аналогично
Alt-TAB, но с циклом в обратном направлении. Строки 28 29
соответствуют CTRL-SHIFT-ESC; это не используется на серверах
WinFrame, а на MetaFrame выводит Windows NT Task Manager.
Строка 30 DisableSound=Off Разрешает или запрещает звук на компьютере,
оснащенном звуковой картой Sound Blaster 16 или совместимой.
Строка 31 DisableCtrlAltDel=On запрещает использование CTRL-ALT-DEL в
сеансе ICA для предотвращения остановки сервера пользователями.
Строки 32 - 33 MouseTimer=0 и KeyboardTimer=0 . Эти значения определяют,
как часто посылать события мыши и клавиатуры на сервер. Значения
указыватися в миллисекундах. Значения 0 делают сеансы более
чувствительными к событиям клавиатуры и мыши. Для модемных соединений вы
можете поставить MouseTimer=100 и KeyboardTimer=50 для улучшения
производительности.
Строки 34 - 36 ColorMismatchPrompt... были нужны в старых версиях
клиентов. Program Neighborhood игнорирует эти установки.
Строки 37 - 39: DosConnectTTY=On, ConnectTTY=Off,
ConnectTTYDelay=1000. Эти настройки поволяют использовать эмуляцию TTY
для прохода через некоторые сетевые устройства, например, X.25 PADS,
требующих аутентификацию в режиме ASCII перед соединением с сервером
Citrix.
Строки 40 - 42 TcpBrowserAddress=, IpxBrowserAddress=,
NetBiosBrowserAddress= указывают адреса для соответствующих протоколов
для поиска опубликованных приложений.
Строка 43, BrowserRetry=3 задает оличество попыток соединения с Master
Browser в случае тайм-аута.
Строка 44, BrowserTimeout=1000 определяет количество миллисекунд
ожидания ответа после выполнения запроса к Master Browser. Пользователям с
медленными соединениями стоит увеличить это значение.
Строка 45, LanaNumber=0 используется для указания NetBIOS, к какому
протоколу привязаться. У вас может быть NetBIOS поверх NetBEUI, IPX или TCP.
Изменение номера переключает от одного к другому. По умолчанию 0 для
NetBEUI.
Строки 46 - 49, ScriptDriver=* ScriptFile=. Это то, что клиент ICA использует
для обработки скриптов. Обычно используется для модемных соединений через
PBX. Укажите здесь имя файла, который будет обрабатывать команды,
требуемые для специальной аутентификации.
Строка 50, PersistentCacheEnabled=Off. Установите значение On для хранения
пиктограмм и других графических файлов в клиентском кеше на его локальном
диске. Включение этой опции повышает производительность при модемных
соедиенениях, а отключение позволяет сэкономить место на диске.
Строка 51, PersistentCacheSize=64424508 определяет размер кеша графики в
байтах.
Строка 52, PersistentCacheMinBitmap=8192 указывает минимальный размер
пиктограммы в байтах, которая будет сохранена в локльном кеше.
Строка 53, PersistentCachePath=C:\Program Files\Citrix\ICA Client\Cache
указывает расположение кеша графики. Если каталог не существует, он будет
создан.
Строка 54, UpdatesAllowed=On разрешает автоматическое обновление ПО
клиента, проталкиваемое с сервера.
Строка 55, COMAllowed=On разрешает переназначение COM-портов клиента.
Строка 56, CPMAllowed=On рарешает переназначение принтеров клиента.
Строка 57, VSLAllowed=On автоматически загружает нужный компонент VSL
перед загрузкой основного кода клиента. Компонент VSL предназначен для
поддержки стека TCP в сетях Microsoft и Novell.
Строка 58, CDMAllowed=On позволяет переназначать локальные драйвы
клиента.
Строка 59, MaximumCompression=Off. This setting is set to On if the box
. Включает сжатие данных. В низкоскоростных соединениях сжатие данных
увеличивает производительность. В локльной сети вы можете отключить сжатие
для снижения нагрузки на процессор.
Строки 60 - 92 показывают данные для устройства чтения смарт-карт.
Улучшение производительности терминальных служб
Как уже говорилось в Главе 13, существует несколько способов повышения
производительности терминальных служб.
Enable AutoEnd Tasks: Q191805
Этот параметр указывает завершать задачи, которые не отвечают при остановке
сервера. Это позволяет ускорить время разрегистрации в том случае, когда
осталась зависшая программа.
"HKEY_USER\.DEFAULT\Control Panel\Desktop"
Добавьте значение: AutoEndTasks REG_SZ: 1
И: WaitToKillAppTimeout REG_SZ: 20000
Значение по умолчанию 200,000 миллисекунд (20 секунд) может быть
увеличено. Если процесс пользователя сам не завершается в течении этого
времени, он будет остановлен принудительно.
Отключение автоматической проверки правописания в Microsoft Word
Фоновая проверка грамматики крайне негативно влияет на проиводительность
сервера и снижает число поддерживаемых ползователей на 50%. Для
отключения ее откройте командную строку и введите:
change user/install
. Минимизируйте командное окно и откройте Microsoft Word. В меню Tools |
Options | Spelling & Grammar уберите флажок "Check grammer as you type." .
Закройте диалог, закройте Word. Вернитесь в командное окно и дайте команду
change user/execute
Все новые пользователи получат новую настройку. Существующие польователи
должны сделать ее вручную.
Скачать