Использование менеджера опубликованных приложений
Публикация приложений настраивается в Менджере опубликованных приложений (Published Application Manager). Он запускается так: Start | Programs | MetaFrame Tools | Published Application Manager.
В Менеджере объекты приложения можно видеть двумя способами: Server и Scope. Опция Server позволяет видеть приложения, опубликованные на определенном сервере или на всех серверах. Scope позволяет видеть приложения в перспективе домена NT или в перспективе Citrix Server Farm. В большинстве случаев используется вид Server Farm и All Servers. Переключение между видами осуществляется из меню View. При первом запуске Published Application Manager, из меню Configure выберите Join Server Farm. Мастер поможет вам присоединиться к существующему или создать новый. Когда ваш сервер окажется в farm, вы можете начинать публиковать приложения.
Давайте начнем с Microsoft Word 2000:
Из меню Application выберите New
Выберите сервер, на котором вы зарегистрировались Укажите приложение. В нашем примере это Word 2000.
Если хотите, введите описание.
Выберите тип приложения Explicit.
Ведите или выберите путь к исполняемому файлу приложения. Рабочий каталог вставится автоматически. Измените его при необходимости. Выберите, хотите ли вы максимизировать окно приложения и надо ли прятать панель заголовка. Если выбрано Hide, заголовок приложения не выводится, тем самым устраняется появление двух заголовков - сеанса ICA и приложения.
Щелкните Next.
Выберите на следующем экране нужные опции и щелкните Next. На следующем экране вы можете выбрать размещение пиктограммы приложения прямо на рабочий стол пользователя или в папку меню Start пользователя. Щелкните Next.
В следующем окне выберите группы пользователей, которым разрешается доступ к приложению. Щелкните Next.
Следующий экран содержит список всех серверов, имеющейся в вашей ферме. Если включено балансирование нагрузки, вы можете добавить дополнительные серверы, содержащие это приложение, в список Configured. Этот список указывает MetaFrame, какие серверы способны предоставлять данное приложение пользователям.
Щелкните Next и затем Finish для завершения мастера.
Хорошая практика состоит в создании отдельной группы для каждого приложения и назначением этой группы как единственной, которой предоставлен доступ к данному приложению.
Использование пула лицензий
Ведение пула лицензий отличаетсяот балансировки приложений. Пул лицензий не перенаправляет клиента на наименее загруженный сервер, вместо этого сервер может принимать клиентские соединения даже в том случае, если все его собственные лицензии уже использованы, но другой сервер Metarame имеет свободные лицензии. При этом не обязательно делать общими все лицензии. Администратор может зарезервировать часть только для этого сервера, а остальные отдать в пул лицензий.
Например, пусть у нас будет два сервера - Pool1 и Pool2, настроенные на пул лицензий, и каждый из них имеет 20 лицензий. Если Pool1 раздал все свои лицензии, а клиент пытается получить доступ к Pool1, в норомальной ситуации клиент получил бы отказ. Однако, при использовании пула лицензий Pool1 просто заимсвует одну из свободных лицензий у Pool2 и разрешает клиенту подключиться.
Использование RADIUS
RADIUS является очень мощным средством при использовании совместно с удаленным доступом. Большинство решений VPN поддерживают RADIUS, а учетная информация может быть получена от сервера RADIUS. И все же его внедрение следует тщательно обдумать. RADIUS можно использовать для защиты чего угодно - от веб-страниц до локальной сети. Существует несколько доступных пакетов RADIUS, но все основаны на базовом протоколе. Сетевые устройства, например, маршрутизаторы, могут передавать учетные данные как часть RADIUS-пакета на сервер учета, который в свою очередь может использоваться для сбора статистики.
Использование Terminal Services Client
Обучение новых пользователей работе с Terminal Services может стать непростой задачей. Большинcтво из них привыкли к своему рабочему столу Windows и должны освоиться с новым способом запуска приложений. В Terminal Services многие задачи выполняются немного по-другому. Напрмер, комбинация клавиш CTRL-ALT-DELETE открывает локальное окно безопасности Windows, а не окно на терминальном сервере. Наиболее часто всречающиеся комбинации клавиш:
| Комбинация на рабочем столе | Комбинация на терминальном сервере | Функция |
| Alt-Tab | Alt-PgUp | Переключение между программами вперед |
| Alt-Shift-Tab | Alt-PgDn | Переключение между программами назад |
| Alt-Space | Alt-Del | Вывести контекстное меню текщего окна |
| Alt-Esc | Alt-Ins | Цикл по открытым окнам |
| Ctrl-Alt-Del | Ctrl-Alt-End | Вывод окна безпасности Windows |
К сожалению, эти клавиши нельзя переназначить. Надо помнить, что при входе через консоль используются стандартные комбинации.
Помимо изменений комбинаций клавиш, меню "Пуск" в терминальном режиме несколько другое. Вместо опции Shutdown пользователю предлагается опции Disconnect или Logoff. Если пользователь выбирает Disconnect, все его процессы остаются работать на сервере, пока не наступит тайм-аут, установленный во время настройки соединения. При последующем подключении пользователь получит тот же экран, который оставил при отключении. Если пользователь выбирает Logoff, его сеанс завершается как обычно.
Отключенные сеансы могут стать головной болью для администратора. Часто пользователи не понимают разницы между Disconnect и Logoff, и часто выбирают Disconnect. Закрытие окна сеанса (иконка X в правом верхнем углу) является эквивалентом Disconnect. Компания Softblox разработала программу App Scape, предотвращающую закрытие окна нажатием на иконку X. Подробнее смотрите на
Одной из наиболее востребованных функций является автоматическоепереназначение локального диска клиента при регистрации на сервере. К сожалению, Microsoft не включила это в RDP. Обычно локальный диск клиента имеет имя C:\ и, возможно, D:\ . Но в Terminal Services тоже есть диск C:\. При подключении пользователя к Terminal Services и попытке сохранить файл на диск C:\, файл запишется на локальный диск сервера, а не на машину клиента. Клиент же Citrix позволяет переназначать локальные диски.
Использование утилит Citrix MetaFrame
Настало время обсудить несколько утилит Citrix MetaFrame, которые устанвливаются на сервер Windows 2000.
Использование Web-браузеров
Одним из необходимых компонентов для публикации приложений в Интернет является веб-сервер. Он обслуживает HTML-страницы, ссылающиеся на приложения, и файлы .ICA, содержащую информацию о сервере приложений. Microsoft Internet Information Server (IIS) работает в качестве веб-сервера и может запускаться на сервере MetaFrame совместно с приложениями; однако Citrix не рекомендует это делать. И веб-сервер, и сервер приложений должны быть доступны каждому клиенту, который к ним обращается. Поэтому необходимо правильно настроить права доступа к каждому серверу. При установке новых приложений доступ к ним должен назначаться группам пользователей. С помощью портала приложений NFuse, установленного на Citrix MetaFrame, доступ к приложениям из Интернет может осуществлться через процесс, называемый Application Launching and Embedding (ALE). Процесс ALE Запукает приложение на сервере MetaFrame при щелчке на соответствующей гипертекстовой ссылке. Существует два метода использования приложения, запуск ( launching) и внедрение (embedding). Оба эти метода инициируются из окна браузера, отображающего интерфейс клиента Citrix MetaFrame. С помощью запуска приложения (Application Launching), приложение появляется в своем собственном окне на рабочем столе клиента, отдельно от окна браузера, из которого оно запущено. Внедрение приложения (Application Embedding) выводит приложение внутри окна браузера, в среде HTML. Можно настроить приложения так, чтобы они автоматически запускались при доступе к веб-серверу.
Для использования метода
Application Launching, необходимо, чтобы на машине клиента был установлден файл WFICA32.EXE. Этот метод может смутить пользователей, думающих, что приложение запускается с их собственной машины. Если это принципиально, попробуйте метод Application Embedding. Вид работающего приложения в окне браузера обычно не вызывает много вопросов.
При публикации приложения через для использования с ALE создаются два файла. Один из них - HTML-страница, содержащая ссылку на приложение, а второй - файл ICA, используемый для установления правильного типа соединения. Веб-страница содержит форматирование, необходимое для запуска файла ICA и установления соединения. Файл ICA - это обычный тектовый файл, содержащий только информацию о соединении ICA.
Последним компонентом является веб-клиент. Citrix MetaFrame может использовать три клиента:
Netscape plug-in Client
Microsoft ActiveX Client
Java Client
Клиент для Netscape в виде плагина предназначен только для браузера Netscape и нуждается в ручной установке.
Клиент Microsoft ActiveX распространяется на дискетте, хотя дискетта не нужна, поскольку он автоматически загружается с корпортативного сервера при первом запуске. Он работает с Microsoft Internet Explorer, но может использоваться независимо от него.
Java Client требуют намного больше административного вмешательства. Однако, при правильной установке он может использоваться практически на любой машине с веб-браузером. Java Client может работать в двух режимах. Первый, режим приложения, требует меньше вмешательства администратора и больше знаний пользователя. В этом режиме Java Web Client находится на машине клиента, на которой установлена виртуальная машина Java версии 1.1 или выше. Этот метод позволяет пользователю инициировать соединение ICA с командной строки и указать параметры сеанса. Созданный сеанс работает в отдельном окне на рабочем столе и веб-браузер в этом случае не требуется.
Другой режим заключается в использовании апплетов Java. При этом требуется больше усилий со стороны администратора, но проще для пользователей. В режиме апплета клиент Java устанавливается на веб-сервере, где создаются сессии. Эти сессии ICA инициируются клиентом из веб-браузера, поддерживающего Java. При создании сессии клиент Java загружается с веб-сервера и ассоциируется с файлами ICA. Затем клиент использует файлы ICA для создания сеансов с сервером Citrix. Веб-браузер в этом случае должен поддерживать JVM 1.1 или выше.
При использовании Интернет следует уделить особое внимание безопасности. Защитный экран (firewall) является основным средством контролирования Интернет и предприятия. Можно предпринять дополнительные меры, например, устанвить демилитаризованную зону (DMZ) и технологии порталов. Для защиты внешних соединений используйте SSL и Citrix Secure ICA.
Использование Web Site Wizard для создания начального сайта
Мастер создает сайт, состоящий из общих страниц. Администратор может воспользоваться веб-редактором, например, Microsoft Front Page, для применения элементов, которые придадут сайту корпоративный вид. Генерируемые страницы совместимы с большинством визуальных HTML-редакторами.
Зарегистрируйтесь на машине, на которой установлен Web Site Wizard.
Запустите Web Site Wizard.
Щелкните Next на экране приветствия.
Щелкните Accept на экране лицензионного соглашения.
Выберите сервер MetaFrame, на котором работает служба NFuse.
Выберите схему, которая будет определять внешний вид веб-страниц
Выберите модель макета веб-страниц, которая совместима с вашим веб-сервером и щелкните Next. Вы можете выбрать из Microsoft Internet Information Server, Netscape Server или Apache (на базе UNIX). Для каждой из моделей предлагаются два макета - на основе тегов (использование стандартных тегов HTML) и на основе скриптов (ASP или Java). Преимуществом модели тегов является легкость реализации. Модель скриптов обеспечивает большую функциональность.
При выборе Tag Based появятся дополнительные экраны. Введите URL Mapping for Servlet, являющийся виртуальным машрутом к сервлету NFuse; введите путь и URL к каталогу, где будут опубликованы веб-страницы. Выберите, как должны появляться приложения - в отдельном окне или внутри веб-страницы.
Выберите вид ссылок, используемых для запуска приложений:
В виде иконки
В виде имени приложения
Подробно, с выводом описания приложения.
Показать папки - выводит дерево достпных приложений Разрешить пользователям видеть настройки приложений - это добавляет на страницу кнопку, при нажатии которой открывается страница настроек
Определите тип страницы регистрации и щелкните Next. Allow Explicit требует от пльзователя указаня своего имени и пароля. Allow Guest Logins позволяет любому выбирать опцию
Log In as Guest на экране Login. Дополнительно к опции Explicit вы можете указать имя домена, но это создает повышенный риск, поскольку это имя будет видно в исходном тексте HTML-страницы.
На следующем экране убедитесь, что все настройки правильные, и щелкните Finish.
В этой главе мы осветили
В этой главе мы осветили некоторые аспекты подключения клиентов MetaFrame, такие как выбор протоколов, выбор и установка нужного программного обеспечения. Мы описали преимущества клиента ICA. Мы обсудили настройку и обновление программного обеспечения клиента. Мы провели вас через общую методику поиска неисправностей. Надеюсь, эта глава даст вам ответы на некоторые вопросы и поможет вам в планировании размещения серверов Citrix.
После всего этого вы можете спросить "Что дальше?". Ну, если этого недостаточно, Citrix выпустила новый продукт - MetaFrame 1.8 Feature Release 1 (FR1). Он добавил много новых возможностей и технологий. Улучшено подключение через браузер на основе технологии NFuse 1.5. В новом сервере Citrix Extranet 2.0 вы можете использовать аутентификацию на основе сертификатов SSL и плстиковых карт (Smart Card), использовать технологию VPN локальной, глобальной сетях и в Интернет. Extranet 2.0 совмещает использование шифрования с открытым ключом и 168-битовое шифрование 3DES при использовании стандартных портов 443, 80 и 3845. Подробности смотрите по адресу .
Наиболее важные функции, реализованные в FR1, следующие:
SpeedScreen 3. Улучшения, сделанные в SpeedScreen 3 по сравнению с версией 2 позволили уменьшить время ожидания. Кроме того, они также уменьшили нагрузку на сеть, что очень важно для модемных соединений. Прогнозирование ввода. Этот компонент технологии SpeedScreen 3 устраняет задержку после ввода символа перед выводом его на экран. Пользователь получает немедленный ответ на вводимые данные, пока обмен данными с сервером еще только продолжается. Это решает одну из самых распространенных проблем с модемными пользователяи, жалующихся на долгое время отклика. Прогнозирование мыши. Как и в случае с вводом текста, пользователи жаловались на отсутствие или задержку реакции на щелчки мышью на иконках. Если приложению требуется много времени для загрузки, пользователь часто щелкал по иконке несколько раз, чтобы убедиться что все работает, и тем самым запуская несколько копий приложения. Теперь курсор мыши меняет свою форму, указывая на незаконченное действие. ICA Browsing по протоколу TCP
Теперь для обнаружения опубликованных приложений UDP больше не нужен. Это решает множетсво проблем с межсетевыми экранами, блокирущими UDP-пакеты. Установка Web-клиента. Теперь пользователи могут автоматически устанавливать клиента MetaFrame просто подключившись своим браузером к серверу Citrix NFuse. Большая глубина цвета. Мультимедия и графические приложения теперь могут использовать high-color (65,000 цветов) and true-color (16 миллионов цветов). Панорамирование и масштабирование. Пользователи карманных компьютеров теперь могут видеть рабочий стол через лупу, а также сжимать размер окна приложения до размеров своего дисплея. Сквозная аутентификация и 128-битное шифрование. Сквозная аутентификация позволяет рабочим станциям автоматически передавать пароль пользователя локального рабочего стола на сервер. Это позволяет поддерживать прозрачные соединения без необходимости в дополнительной регистрации. 128-битное шифрование, бывшее ранее дорогостоящим добавлением, стало стандартным компонентом MetaFrame. Это большое улучшение по сравнению со старым алгоритмом XOR
Из полезных нововведений следует отметить поддержку нескольких мониторов и сохранение пооложения программы приложения, когда клиент "запоминает" предыдущие положение и размер окна.
Все это является частью стратегии доставки нового продукта ("New Product Delivery Strategy"), при которой Citrix обещает новым покупателям новую будущую версию (Feature Release) два или три раза в год, а новую платформу (Platform Release) раз в 18-24 месяцев.
Измените значения: Default 0, установленных
Ограничьте число байт, блокируемых в операциях ввода/вывода.
"HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management"
Измените значения: Default 0, установленных MB памяти * 128. Переведите это число в 16-ричный формат; например, для 1GB RAM это будет 1024MB * 128 = 131072. Введите это число как десятичное значение.
Изменение установки RAS
После установки, вам может потребоваться вносить изменения в свойства RRAS. Мастер RRAS, облегчающий начальную установку, делает слишком много невидимых для вас предположений, которые вам, возможно, потребуется изменить. Для изменения настроек запустите консоль Routing and Remote Access MMC, щелкните правой кнопкой мыши на имени сервера, выберите Properties.
Здесь вы можете изменить настройку PPP, метод аутентификации, удалить ненужные протоколы. Закладка General используется в основном для переключений функций сервера RRAS как сервера удаленного доступа или маршрутизатора. Windows 2000, имеющая несколько сетевых адаптеров, может выполнять функции маршрутизатора между несколькими подсетями. RRAS - сокращение от "Routing and Remote Access Services", поскольку Windows 2000 может выполнять функции маршрутизации. Windows 2000 включает собственное решение RADIUS, называемое Internet Authentication Service (IAS). Этот дополнительный компонент можно установить через Add/Remove Programs. За более подробной информацией об IAS обратитесь к файлам помощи Windows 2000 или Server Resource Kit.
Как упоминалось ранее, можно использовать либо аутентификацию Windows 2000, либо RADIUS. Если вы хотите позднее установить у себя сервер RADIUS, здесь вы можете включить его использование. Закладка "Accounting" позволяет выбрать тип учета - Windows Accounting, RADIUS Accounting, или None. Система учета, принятая по умолчанию, дает значительно меньше информации, чем RADIUS.
Щелкнув на кнопку "Authentication Methods" вы попадете в список возможных методов аутентификации. Обычно используют MS-CHAP или and PAP, хотя есть и такие дополнительные методы, как EAP и даже Unauthenticated Access.
На этом рисунке показана закладка IP, где вы можете включить маршрутизацию IP, определить метод адресации клиентов, добавить и удалить IP-адреса из адресного пула. Здесь же вы можете указать использовать DHCP или статический пул адресов. Чтобы клиенты могли получить доступ во внутреннюю сеть, вы должны включить маршрутизацию IP.
Закладка PPP позволяет изменить свойства PPP-соединения. Вы можете определить разрешение множественных соединений, использование прграммного сжатия, расширения протокола LCP. Индивидуальные настройки выплняются настройкой политик удаленного доступа.
Последняя закладка - это Event Logging. Здесь вы можете указать, какие события должны регистрироваться. Если включена опция Point-to-Point Protocol logging, события PPP-соединения записываются в файл Ppp.log, находящийся в каталоге %systemroot%\Tracing. Для вступления изменений в силу вы должны перезапустить сервер RRAS.
Помимо этих настроек неплохо также проверить свойства портов, настроенных на RRAS-соединения. Мастер установки RRAS подразумевает, что все модемы доступны для входящих соедиений. Это также открывает порты для злоумышленников, которые попытаются "завалить" ваш сервер. Поэтому неиспользуемые порты лучше удалить. Для использование порта для удаленного доступа, подсветите соединение и нажмите кнопку Configure. Проверьте флажки Remote Access Connections (Inbound Only).
Как работает печать
Печать в MetaFrame работает почти так же, как в обычной Windows 2000, за исключением некоторых особенностей. При печати на сетевой принтер в LAN, терминальные службы помещают задание в очередь для сервера печати как обычно. Если пользователь печатает на принтер, подключенный к компьютеру через USB, MetaFrame выводит задание на печать на локальный порт через клиента ICA. В зависимости от скорости соединения и размера задания, заданию может потребоваться несколько минут до начала печати. При запуске задания на печать оно помещается в спулер и конвертируется в файл на том языке, который понимает принтер. Часто такие файлы значительно больше, чем оригинальные задания. Этот файл пересылается на спулер клиента. Эта пересылка файла зависит от скорости соединения. Если клиент подключен через LAN, то печть происходит быстро и пользователь почти не видит разницы с обычной печатью. Но если это модемный клиент на низкоскоростной линии, эта передача файла намного медленнее, и заданию требуется много времени для начала печати.
Кластеры
Объединение серверов в кластеры является прекрасным способом обеспечения отказоусточивости RAS. В кластере все машины соединены друг с другом для обеспечения непрерывной доступности приложений и служб. Если один из членов кластера выходит из строя, остальные будут продолжать оказывать услуги. Как правило, в кластере используется балансировка нагрузки.
Модемы
Выбор модемов, подходящих под ваши требования, чрезвычайно важен в проектировании RAS. В первую очередь вам следует определить общее число одноврменно работающих пользователей. Если это будет RAS для двоих, то можно вставить в сервер пару модемных плат и на этом ограничиться. Но что делать с сотней одновременных соединений? Для этого необходимо специализированное оборудование.
Большинство телефонных коммуникаций имеют скорость 56Kbps на базе протокола V.90. Это максимум, что может обеспечить телефонная линия. Большинство соверменных модемов имеют скорость 28.8, 33.6 или 56 Kbps. Если вы хотите использовать банк модемов (группу модемов в стойке), а пользователь пытается соединиться на 56К, убедитесь, что модемы на вашей стороне могут обеспечить соединение 56К.
Замечание
Вы никогда не добьетесь соединения на полные 56К. Согласно стандартам U.S. FCC, максимальная скорость передачи в телефонной сети США составляет 53К.
Мультипортовые карты
Для подключения нескольких модемов к серверу вы можете использовать мультипортовые последовательные карты. Они бывают двух типов. Неинтеллектуальные карты используют ресурсы центрального процессора для обработки данных при отправки их через последовательный интерфейс. Это означает, что каждый порт карты прерывает CPU всякий раз во время приема или передачи данных. Это может существенно снизить производительность вашего сервера RAS. Интеллектуальные карты осущствляют большую часть обработки данных независимо от центрального процессора. Они даже могут содержать несколько процессоров для поддержки большого числа портов. Центральный процессор все еще отвечает за передачу данных от последовательного порта в систему. Интеллектуальные карты снимают ограничения на количество последовательных портов, используемых сервером RAS. Без них можно обеспечить 100%-ю загрузку сервера всего 20 сенсами модемных пользователей.
Последовательные карты
Использование последовательных карт, как интеллектуальных, так и нет, имеет общую схему. В сервер вставляется плата ISA или PCI, имеющая порт для подключения большого кабеля, называемого "осьминогом". "Осьминог" состоит из нескольких 9- или 25-жильных кабелей, сходящимя в один большой разъем, подключаемый к плате. При большом количестве портов вы можете обратить внимание на концентраторы последовательных портов.
Концентратор состоит из специального кабеля, подключаемого к последовательной карте, и внешнего устройства, которое можно установить в отдалении от сервера. Концентраторы можно соединять в цепочку, увеличивая тем самым количество портов. Однако, чем больше концентраторов, тем меньше максимальное расстяние до сервера. Обычно концентраторы поставляются с числом портов, кратным 16. Часто они требуют специализированные кабели от производителя.
Высокоскоростные соединения
Все больше и больше пользователей переходят на ISDN, ADSL и кабельные модемы. Пользователи ISDN могут подключаться со скоростями 64Kbps или 128Kbps, ADSL - до 9 Mbps, пользователи кабельных модемов - до 2Mbps. Такие соединения требуют специального оборудования и линий связи. Решение того, стоит ли их использовать, может быть затруднительным. Пользователи ISDN могут звонить непосредственно в вашу сеть (если вы способны принимать звонки ISDN), но пользователи кабельных модемов и ADSL должны подключаться через внешнюю сеть. Это означает, что в вашем защитном экране должно быть открыто окно, что может потребовать VPN-соединения.
Сегодня очень популярны решения на основе ISDN. Соединение ISDN состоит из линии ISDN и терминального адаптера (ТА) на стороне клиента. На сервере устанавливается Primary Rate Interface (PRI) или отдельная линия ISDN к ISDN-адаптеру или маршрутизатору. Для ISDN требуется специальная линия, называемая Basic Rate Interface (BRI), состоящая из двух каналов B и одного канала D. Каналы B обычно по 64К и могут передавать либо голос, либо данные. Это означает, что пользователь может одновременно разговаривать и передавать данные со скоростью 64К. По завершении разговора каналы автоматически сливаются и обеспечивают скорость 128 Кбит/с. Канал D используется для связи с телефонной компанией.
Клиент ICA
Клиент ICA содержит много полезных функций, упрощающих интеграцию опубликованных приложений на настольных ПК. Хотя большинство из этих функций теперь доступны и в RDP 5.0, ICA превосходит по возможностям RDP. Следующие функции доступны только в ICA:
Отображение клиентских дисков Цельные окна (Seamless Windows) Запуск и внедрение приложений (Application Launching and Embedding ALE) Программное окружение (Program neighborhood) Улучшенные теневые сеансы (session shadowing) Переназначение клиентских устройств (client devices mapping)
Помимо переназначений принтеров, ICA позволяет переназначать порты COM и аудиоустройства. Аудио может быть включено или выключено в настройках клиента. Порты COM автоматически не переназначаются; для этого в должны использовать команду NET USE. Например, COM1: на клиенской машине можно переназначить на \\Test\COM1. Также есть команда change client
для изменения переназначения.
Замечание
Включение отображения COM и аудио значительно увеличивает требования к пропускной способности канала. Будьте очень внимательны, включая эти функции.
Одним из важнейших улучшений ICA состоит в возможности переназначения локальных дисков клиентов. Это позволяет пользователям легко переносить информацию с локальной машины на сервер и наоборот без необходимости выходить из сеанса MetaFrame и подключения сетевого диска вручную. Citrix делает это переназначение локальных дисков при регистрации, делая их доступными клиенту. Это можно сделат несколькими способами. Чаще всего локальным дискам присваиваются буквы, отличные от C:\ или D:\. При установке MetaFrame у вас спрашивают, хотите ли вы переназначить локальные диски, и какую букву для этого использовать. По умолчанию это M:\. Если вы выбрали этот способ, то все клиентские диски будут автосоздаваться по принципу один в один. Т.е. C:\ на сервере MetaFrame будет локальным диском C:\. Если диски сервера не переназначаются, то клиент создает буквы локальных дисков на сервере начиная с V:\ и далее назад. Другими словами, локальный C: будет виден как V:, D: - как U:, и так далее. Это предотвращает конфликты с системой переназначения дисков поиска в Novell Netware. Если буква уже назначена на сервере, она пропускается и используется следующая.
Автоматическое переназначение можно выключить на уровне пользователя с помощью консоли User Manager MMC или утилитой Citrix Connection Configuration. Выключение автоматического переназначения не предотвращает пользователя от его ручного включения. Вы должны предпринять определенные меры безопасности.
Принтеры создаются почти так же, как в RDP. После выхода пользователя принтер удаляется. Следует осторожно подходить к автосозданию принтеров. Хотя это очень удобно, сеть может оказаться перегруженной. При отправке задания на печать через клиентское отображение, оно посылается с сервера MetaFrame назад клиенту для помещения в очередь, а затем снова через сеть на принтер. Если принтер отображен на Terminal Services, задание помещается в очередь на сервере, и посылается на принтер без постановки в очередь клиента.
Клиент Terminal Services.
Существует два типа клиентов: 32-битный для Windows 95/98/2000 и NT содержит полный функционал RDP 5.0. 16-битный клиент для Windows for Workgroups 3.11 не содержит такие ключевые функции, как поддержка клиентских принтеров и автосоздание принтеров. Дополнительные клиенты доступны у сторонних производителей. Существуют клиенты для UNIX, Macintosh и DOS. Есть отдельный клиент для платформы Windows NT Alpha, но он не включен в комплект Windows 2000. Клиенты должны быть установлены на каждой машине, которая осуществляет подключение к Terminal Services.
Клиент терминальных служб
Это программа, устанавливаемая на компьютер пльзователя, предоставляет пользователю стандартный GUI. Это относительно небольшое приложение. Оно поддерживает соединение, передает назжатия клавиш на сервер и отображает изменения экрана.
Клиенты VPN
Назначение VPN - предоставить пользователям защищенное соединение к внутренней сети из-за пределов ее периметра, например, через интернет-провайдера. Основное преимущество VPN состоит в том, что пока программное обеспечение его поддерживает, пользователь может подключаться к внутренней сети через любое внешнее соединение. Это означает, что высокоскоростные устройства, например, ADSL, могут обеспечивать соединение с внутренней сетью и функционировать с полной нагрузкой. Это особенно удобно для пользователей, постоянно работающих на дому.
Существует два основных типа VPN. Первое решение основано на специальном оборудовании; на сервере и клиенте устанавливается специальное программное обеспечение, обеспечивающее защищенное соединение. Есть два распространенных решения - Altiga (от Cisco) и RedCreek.
Второй тип решения - это управляемый VPN.В этом сценарии некоторый провайдер предоставляет пользователям возможность дозвона на свой модемный пул, а затем устанавливать защищенное соединение с вашей внутренней сетью. Преимущество этого метода состоит в том, что все управление VPN перекладывается на другую компанию. Недостатком является то, что как правило эти решения ограничиваются модемными соединениями, что зачастую сводит на нет преимущества технологии VPN.
VPN использует несколько разных технологий защиты пакетов. Целью VPN является создание защищенного туннеля между удаленным компьютером и внутренней сетью. Туннель передает и кодирует траффик через незащищенный мир Интернет. Это означает, что два корпоративных сайта могут использовать VPN для связи друг с другом. Логически это работает как WAN-связь между сайтами.
Преимущества VPN очевидны. Предоставив пользователям возможность соединяться через Интернет, масштабируемость достигается в основном увеличением пропускной способности канала связи, когда сеть становится перегуженной. VPN помогает съкономить на телефонных расходах, поскольку вам не требуется иметь дело с пулом модемов. Кроме того, VPN позволяют получить доступ к сетевым ресурсам, которые в обычной ситуации администраторы вынуждены выносить на внешнее соединение.
Рассматривая VPN как подходящее решение, вы должны учитывать некоторые вещи:
Поддержка нескольких протоколов. Любое решение должно быть способным работать с популярными протоколами обественных сетей (например, IP, IPX, и т.п.). Механизм аутентификации. Должен существовать способ проверки пользователей и ограничения их прав. Также желателен аудит. Шифрование данных. Ваше решение должно шифровать данные, передаваемые по защищенному туннелю. Управление адресами клиентов. Решение должно быть способно присваивать внешнему клиенту внутренний адрес, чтобы сеть рассматривала его как локальный узел. Настоящий адрес клиента (присваеваемый ему провайдером), должен держаться в тайне от внешнего мира для предупреждения хакерских атак.
В каких же случаях использовать VPN? Это зависит от ваших требований к RAS. Если у вас много путешествующих пользователей, которым нужен доступ в интрасеть независимо от местонахождения, VPN будет правильным выбором. Вы также можете использовать комбинацию RAS и VPN для осуществления безопасной связи между кампусами, как показано на рисунке:
 |
Удаленный пользователь дозванивается на RAS RAS аутентифицирует пользователя. Удаленный пользователь запрашивает файл с кампуса В и этот запрос посылается на сервер VPN. Сервер VPN отправляет запос через межсетевой экран и далее через Интрнет на удаленный кампус. Сервер VPN в удаленном кампусе получает запрос и устанавливает защищенный канал между кампусами А и В. Посе установления туннеля, файл пересылается с кампуса В в кампус А через сервер VPN, а затем удаленному пользователю. |
PPTP
PPTP обеспечивает безопасность инкапсуляцией кадра PPP в датаграмму IP, передаваемую между сетями. PPTP может использоваться в схемах LAN-to-LAN и WAN-to-WAN. PPTP использует такой же маханизм аутентификации, что и PPP. В нем могут использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva PAP (SPAP), и Extensible Authentication Protocol (EAP). PPTP может шифровать траффик IP, IPX или NetBEUI. Туннели устанавливаются, когда оба конца договариваются о параметрах соединения. Сюда включается согласование адресов, параметры сжатия, тип шифрования. Сам туннель управляется посредством протокола управления туннелем.
PPTP включает много полезных функций. Среди них сжатие и шифрование данных, разнообразие методов аутентификации. PPTP доступен во всех текущих платформах Windows.
Компоненты лицензирования
Следующая процедура описывает порядок установки Компонента Лицензирования в Windows 2000. После ее завершения вы можете выпускать в сети лицензии.
Откройте панель управления, щелкните иконку Add/Remove Programs, затем щелкните Add/Remove Windows Components. Выберте из списка
Terminal Services Licensing и щелкните "Next".
Затем укажите режим работы. Выберите
Application Server Mode (установка по умолчанию) и щелкните "Next".
В окне настройки лицензирования терминальных служб укажите, должна ли лицензия относиться ко всему придприятию (
Enterprise), или к домену или рабочей группе. Выберите размещение базы данных лицензий и щелкните "Next".
Вставьте CD с Windows 2000 Server или выберите расположение системных файлов.
Когда появится окно "Finish Setup", щелкните "Finish"
Компьютер можно не перезагружать
Компоненты Windows 2000 Terminal Services
Терминальные службы состоят из пяти интегрированных компонентов. Многопользовательское ядро является фундаментальным компонентом, который работает с аппаратурой сервера. Протокол RDP является коммуникационным компонентом терминальных служб. Лицензирование
разрешает клиентам подключаться к серверу. Клиент предоставляет пользователю досутп к серверу. Средства администрирования
позволяют администраторам осуществлять управление сервером.
Конфигурация для Интернет
Настройка машрутизаторов и коммутаторов для приоритетной обработки траффика ICA или использования технологии packet-shaping компаний Packeteer или Net Reality может повысить производительность и стабильность ICA.
В таблице показаны порты, используемые ICA и RDP. В зависимости от политики компании порты UDP могут быть закрыты. Citrix решила это проблему в Feature Release 1 и Service Pack 2. (А также в MetaFrame XP - Прим.перев.)
| Протокол | Порт | TCP/UDP |
| ICA connection | 1494 | TCP |
| ICA browsing | 1604 | UDP |
| ICA XML | По умолчанию 80, но можно изменить | TCP |
| RDP | 3389 | TCP |
Установка соединения ICA может происходить двумя способами:
Если вы напрямую подключаетесь к конкретному серверу, а не к опубликованному приложению, клиент посылает пакет TCP со своего IP-адреса на IP-адрес сервера на порт 1494 со своего порта из диапазона 1024 - 65535. Сервер затем отвечает клиенту на исходный порт и начинает соединение.
Если вы подключаетесь к опубликованному приложению, процесс немного иной. Клиент посылает пакет UDP на Master ICA на порт UDP 1604 для запроса сервера, который может предоставить приложение. ICA Browser отвечает сервером, способным обслуживать данное приложение; если включено балансирование нагрузки, он возвращает наименее загруженный сервер.
Если у пользователей возникают проблемы с подключением к вашему серверу, точно определите симптомы. Публикуемые приложения зависят от порта UDP, поэтому попросите пользователя напрямую подключиться к серверу. Если соединение получается, то вы должны проверить:
Убедитесь, что траффик UDP может проходить через firewall.
Если filrewall делает трансляцию адресов, проверьте, что клиент сконфигурирован с альтернативным адресом.
Проверьте, что сервер сконфигурирован на предоставление альтернативного адреса утилитой altaddr.exe.
Краткая история Citrix
Более пяти лет назад у Citrix был продукт, способный делать то, чего не мог делать ни один другой продукт на рынке. Citrix WinView позволял совместное использование одного приложения DOS или Windows 3.1 с нескольких компьютеров по телефонным линиям или по локальной сети. Это означало, что компании могли установить десятки компьютеров с индивидуальными телефонными линиями и с помощью программного обеспечения удаленного управления снизить стоимость удаленного доступа.
Один сервер WinView мог одновременно поддерживать в среднем 14 удаленных пользователей. В результате приложение можно установить только один раз, вместо того, чтобы администратор делал 13 отдельных установок. Пользователи также получали преимущества от быстрого ответа приложения по сравнению с другими программами удаленного управления. Citrix WinView был для многих чудом, пока Microsoft не выпустила Windows 95.
Citrix выпускает WinFrame
Когда Microsoft выпустила Windows 95, Citrix увидела, что возникла проблема, которую WinView не может решить. WinView не мог поддерживать 32-битные приложения Windows 95, поскольку был основан на IBM OS/2 и использовал 16-битную эмуляцию Windows. В результате Citrix пришлось работать совместно с Microsoft, лицензировать Windows NT 3.5x и создать Citrix WinFrame.
Новый WinFrame имел графический пользовательский интерфейс (GUI) в стиле Windows 3.1., поддерживал совместное использование 32-битных приложений, поддерживал серверы класса high-end с возможностью мультироцессорности (SMP), поэтому меньшее число серверов были способны обслуживать большее количество пользователей.
Citrix встроила в WinFrame два компонента:
Ядро MultiWin Протокол Independent Computing Architecture (ICA)
Сегодня ICA расшифровывается как Intelligent Console Architecture. Он изменился после выхода Windows NT 4.0 и соглашения с Microsoft. Новое соглашение дало Microsoft лицензию на ядро MultiWin, позволив выпустить Windows NT 4.0 Terminal Server Edition. Citrix изменил сокращение ICA для обозначения Independent Computing Architecture, поскольку ICA позволило предоставлять терминальные сесии на любой платформе, в то время как терминалы Microsoft были ограничены 32-битными клиентами Microsoft (или Windows 3.11 for Workgroups с 32-битным TCP/IP). В то же время, когда был выпущен Terminal Server Edition, Citrix выпостил новый продукт, названный Citrix MetaFrame for Windows NT 4.0 Terminal Server Edition. MetaFrame позволяли Серверу Терминалов совместно использовать сессии по протоколу ICA. Сервер MetaFrame мог использовать другие продукты, созданные Citrix - такие, как Application Load Balancing.
Отличие между WinFrame и MetaFrame состоит в том, что WinFrame имел ядро, полностью переписанное с Windows NT 3.5x. При установке WinFrame вы устанавливали целую операционную систему, и вам не требовалась предустановленная Windows 3.5x. С другой стороны, MetaFrame является компонентом ICA, совмещенным с административным интерфейсом. Для него необходима установленная операционная система Windows NT 4.0 (или теперь Windows 2000) с установленной терминальной службой.
Зачем использовать Сервер Приложений для тонкого клиента
Одним из основных преимуществ Citrix MetaFrame перед Terminal Services является существенная экономия пропускной ширины канала. "Толстым клиентом" является обычно клиент-серверное приложение, заружающее канал передачи данными, которые оно получает от сервера и тем самым создающее большой траффик. И терминальные службы, и MetaFrame предусматривают "тонких клиентов", которые нуждаются в минимальной ширине канала.
Толстым клиентам требуется много времени для соединения и загрузки данных. Citrix сравнивает это с высасыванием бутылки сока через соломинку. Уже один толстый клиент - это плохо. А если учесть сотни толстых клиентов, получающих доступ к одному и тому же приложению по каналам связи, от телефонных сетей сети до выделенных линий T3, то вы получити слабую производительность и недовольных пользователей.
L2TP
PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями. Протокол Layer 2 Tunneling Protocol (L2TP) является комбинацией протоколов PPTP и L2F, предложенный компанией Cisco.
Оба протокола очень сходны по функциям, поэтому IETF предложила объединить их в один. В результате появился L2TP, описанный в RFC 2661. L2TP использует достоинства как PPTP, так и L2F.
L2TP инкапсулирует кадры как сообщения UDP и передает их по сети IP. Эти сообщения используются для управления и передачи данных Для шифрования используется IPSec. Как и PPTP, L2TP использует методы те же аутентификации, что и PPP. L2TP также подразумевает существование межсетевого пространства между клиентом L2TP и сервером L2TP. Поскольку управлением туннелем L2TP производится по тому же UDP-соединению, что и передача данных, оба типа пакетов имеют одинаковую структуру. Стандартный порт L2TP для сервера и клиента в Windows 2000 - 1701 UDP.
Что же в результате выбрать? Если для PPTP необходима межсетвая среда на базе IP, то L2TP нуждается в соединении "точка-точка". Это означает, что L2TP может использоваться поверх IP, Frame Relay, X.25, ATM. L2TP поволяет иметь несколько туннелей. PPTP ограничен одним туннелем. L2TP разрешает аутентификацию туннеля Layer 2, а PPTP - нет. Однако, это преимущество игнорируется, если вы используете IPSec, поскольку в этом случае туннель аутентифицируется независимо от Layer 2. И наконец, размер пакета L2TP на 2 байта меньше за счет сжатия заголовка пакета.
Как и в случае PPTP, при установке Windows 2000 создаются пять портов L2TP. Windows 2000 использует L2TP вместе с IPSec для поддержки VPN, что чам по себе IPSec не может обеспечить. Поскольку пакет L2TP включается в пакет IPSec, это дает преимущества IPSec (защищенная связь, защита релея, целостность данных) плюс аутентификацию пользователя, поддержку нескольких протоколов, назначение адресов.
Управление L2TP производится также в консоли RAS MMC. Не забудьте установить правильное количество портов L2TP. L2TP превосходит традиционный PPTP, поскольку поддерживает несколько туннелей между конечными точками и может работать в любой пакетно-ориентированной сети. Кроме того, аутентификация туннеля, поддерживаемая IPSec, обеспечивает более высокий уровень защиты, чем PPTP.
Конечно, в L2TP/IPSec есть и недостатки. Как уже указывалось, IPSec не поддерживает NAT. Кроме того, старые клиенты не поддерживают L2TP. Это означает, что многие клиенты будут вместо него использовать PPTP. И наконец, L2TP по IPSec является тем решением, которое Microsoft настоятельно советует использовать в Windows 2000.
LAN
Допустим, все необходимые сервисы находятся в локальной сети. Во-первых, вам надо предоставить необходимую полосу пропускания, 30К на каждого пользователя. Для 5000 пользователей это составит 150Мбайт. Теперь давайте проектировать сеть. Сначала вм надо подключить к сети клиентов. Для такой большой сети вам потребуется 107 48-портовых концентраторов. Даже если все 47 компьютеров передают пакеты RDP, только это займет 1,4 Мб полосы. Использование вместо концентраторов коммутаторов позволит обрабатывать еще больший объем данных. Многие поставщики предлагают большие маршрутизаторы с большим количеством портов. В нашем примере подойдет 120-портовый коммутатор с портами 10/100 Мбит, чтобы вы смогли подключить к нему 107 концентраторов и оставить еще 14 портов для терминальных серверов и интернет. Возможно, при тестировании вы обнаружите, вам потребуется больше терминальных серверов.
Я рекомендую модульные коммутаторы со сменными шасси, на которых монтируются сосбтвенно интерфейсы. Допустим, вы определили, что для сети требуется 13 терминальных серверов. 100Мб сетевые карты на серверах связаны непосредственно с коммутатором.
Теперь подключим терминальные серверы к файл- и принт-серверам. Для этого мы добавим в коммутатор гигабайтный модуль для свяжем его с другим, меньшим коммутатором. Для доступа к SQL-серверу, в каждый из терминальных серверов мы вставим по еще одной сетевой карте и соединим их с другим коммутатором.
Лицензирование
Лицензирование является большой проблемой. Microsoft стала использовать новый подход к лицензированию. Оно разбивается на два компонента:
Microsoft Clearinghouse
Это база данных, используемая Microsoft для активации серверов лицензирования и выпуска пакета клиентских лицензий. Она также хранит информацию обо всех активных лицензиях.
License Server
Серверы Windows 2000 имеют опцию "Terminal Server Licensing". Ее задачей является учет лицензий, установленных для терминальных серверов, а также лицензий, выданных клиентам. Терминальные серверы должны иметь возможность связываться с серверами лицензий до подключения клиентов. Только один сервер лицензий отвечает за несколько терминальных серверов.
Взаимодействие всех компонентов показано на рисунке:
Terminal Server
Эти серверы не только раздают приложения, то также проверяют клиентские лицензии на сервере лицензий. Если у клиента нет лицензии, она выдается Сервером Лицензий через терминальный сервер.
Client Licenses
Каждый клиент, подключающийся к терминальному серверу, должен иметь действительную клиентскую лицензию. Клиенты хранят лицензию локально и предъявляют ее терминальному серверу во время регистрации. Терминальный сервер в свою очередь проверяет ее на Сервере Лицензий и разрешает подключение.
Серверы Лицензий могут быть настроены двумя сопосбами: как Доменный Сервер (Domain License server), либо как Сервер Предприятия ( Enterprise License server).
Лицензирование Citrix MetaFrame
Все продукты Citrix и пакеты лицензий должны быть зарегистрированы в течении 35 дней после установки. Клиенты Citrix продаются на каждого одновременного пользователя. Лицензии могут быть распределены на разных серверах, формируя пул лицензий. Дополнительные продукты, как слежба управления ресурсами и балансирование нагрузки, лицензируются на каждый сервер.
Повторная регистрация одного и того же ключа лицензии не рекомендуется и может вызывать вопросы у Citrix Corporation. По этой причине вам сначала следует добиться стабильной работы системы, а потом лицензировать ключи. Эта процедура легко может быть выполнена из веб-браузера.
Citrix предоставляет два инструмента для установки и поддержания лицензий - утилита лицензирования, входящая в комплект MetaFrame, или систему активации лицензий - Citrix Activation System (CAS), доступ к которой осуществляется через веб.
Утилита Citrix Licensing используется для установки и активирования Citrix MetaFrame и дополнительных компонентов, требующих лицензии. Веб-сайт содержит ссылки на страницы автоматизированной регистрации, которые соедржат необходимую информацию для активирования. При первом входе вам необходимо зарегистрироваться. Используйте эту веб-страницу для получения кодов активации ваших лицензий.
Лицензирование клиента Terminal Services
При поключении клиента к терминальному серверу, тот обращается к Серверу Лицензий. Сервер лицензий предоставляет лицензию клиенту, и соединение разрешается.
Лицензии на Сервере Лицензий получают от
Microsoft Clearinghouse. Это база данных, находящаяся в Microsoft, содержащая список всех купленных лицензий. Обращение к ней присходит во время процесса лицензирования терминального сервера. Когда Сервер Лицензий запрашивает пакет лицензий, Microsoft Clearinghouse предоставляет соответствующие лицензии серверу. После этого сервер распространяет эти лицензии клиентам.
Существует два типа клиентских лицензий для Terminal Services: сетевая лицензия и Интернет-лицензия. Лицензирование для сети возможно на базе сервера (per-server) или на базе места (per-seat). Обычно используется второй вариант. Это означает, что лицензия должна приобретаться для каждого пользователя, подклчающегося к терминальному серверу. Интернет-лицензия допускает схему на базе сервера. Лицензии должны приобретаться для для максимального числа одновременно подключающихся к серверу пользователей. Причиной использования лицензирования на базе сервера является то, что вы не можете быть уверены, что пользователи, подключающеся через инернет, будут иметь клиентскую лицензию.
Терминальные серверы Microsoft Terminal Services могут работать в режиме application mode без лицензирования в течении 90 дней. Это дает вам время опробовать продукт перед его покупкой.
Лицензирование Службы Терминалов
Помимо стандартных CAL существуют еще четыре типа CAL:
Terminal Services CAL (TS CAL). Стандартные лицензии для каждого пользователя, кроме описанных ниже. Каждый пользователь для регистрации на сервере должен иметь CAL.
Built-in CAL
Пользователь, имеющий лицензию на NT Workstation или 2000 Professional, не нуждается в новой TS CAL для доступа к серверу.
Work-at-Home CAL
Эта лицензия может быть куплена только в комплекте с TS CAL. Это неграниченная количеством лицензия, позволяющая пользователю регистрироваться на терминальном сервере на работе и дома. Она комбинирует стандартную серверную лицензию и TS CAL в одну лицензию.
Internet Connection License
Многие компании делают терминальньые службы доступными из Интернет. Эта специальная лицензия разрешает максимум 300 анонимным пльзователям одновременно подключаться к терминальному серверу. Эти лицензии предназначены не для сотрудников компании.
После установки Terminal Services вам дается 90 дней для активации сервера лицензий. Сервер лицензий может работать на контроллере домена или любом сервере Windows 2000 или NT 4.0. Сервер лицензий следит за доступными клиентскими лицензиями и выдает их устройствам пользователя во время их подключения. Не имея правильной лицензии, клиент не может подключиться. Получив цифровой сертификат от Microsoft Clearinghouse и предоставив его серверу лицензий, вы активируете управление лицензиями.
На таблице показано, как сервер лицензий обрабатывает запросы клиента.
| Клиент | Сервер |
| Устанавливает соединение с Windows 2000 Terminal Services | Отправляет запрос лицензии клиента |
| Возвращает лицензию из кеша
- или - Запрашивает новую лицензию у сервера |
Проверяет лицензию. Если она действительна, процесс установления соединения заканчивается
- или - Если нет лицензии, или она недействительная, терминальная служба пытается обратиться к серверу лицензий и получить от него новую лицензию. |
| Завершает содинение
- или - Ожидает новой или правильной лицении от сервера. Если ни одной не доступно, в соединении отказывается. |
Сервер функционирует как обычно
- или - Если лицензии недоступны, или сервер лицензий недоступен, в доступе отказывается. Если получена новая лицензия, содинение устанавливается. |
Переход на Windows 2000 Terminal Services
В зависимости от вашей текущей операционной системы, у вас есть несколько способов перехода на Windows 2000 Terminal Services. На стандартном сервере NT 4.0 после перехода на TSE необходимо переустановить все программы, чтобы они были доступны терминальным службам. Поэтому Microsoft рекомендует устанавливать Terminal Services в режиме удаленного администрирования. Если необходим переход на сервер приложений, рекомендуется устанавливать его на чистую машину, а потом заново установить все программы.
Лицензирование терминальных служб
Вы можете содержать Windows 2000 Server и службу лицензирования на одной машине. Если у вас в сети есть несколько терминальных серверов, сконфигурируйте другой сервер Windows 2000 в качестве сервера лицензий.
Локальная сеть (LAN)
Возьмем для примера локальную сеть Token Ring некотрой страховой компании "Finance Advantage". В ней работает 100 сотрудников. Из них 60 агентов работают за пределами основного офиса. В компании имеются серверы NetWare и Windows NT, поэтому в сети используются протоколы IPX/SPX и NetBIOS. Компания планирует в течении шести месяцев провести линию для подключения к Интернет, планирует свой рост приблизительно на уровне одного агента в год в течении следующих трех лет. Компания собирается сейчас установить сервер Citrix MetaFrame на базе Windows 2000, чтобы ее агенты могли получать доступ к новой программе страхования по телефонным каналам, а административный персонал - по локальной сети. Данные для программы находятся на сервере Windows NT. Программа страхования основана на вводе данных, и после тестирования выяснили, что один процессор способен поддерживать до 45 одновременных пользователей, а каждый сеанс требует 4Мб RAM.
В этом окружении мы можем лишь подключить сервер Citrix MetaFrame к существующей сети Token Ring. Хотя можно установить сервер Citrix в другой сегмент, у нас нет для этого причины. Вряд ли у нас будет более 60 одновременных пользователей. Это значит, что нам потребуется минимум 2 процессора и минимум 368MB RAM (60 users x 4MB RAM + 128 Base RAM = 368MB RAM), округляем эту цифру до 512MB RAM.
Поскольку пока нет существующего метода удаленного доступа, предпочтительнее использовать прямое асинхронное соединение. Тем самым мы снижаем нагрузку на локальную сеть, а значит увеличиваем скорость локальной печати. Кроме того, нам не надо заботиться о смене протоколов на стороне удаленных пользователей, что в будущем уменьшит административные затраты.
Это означает, что один сервер с двумя процессорами является наилучшим вариантом. Для этого сервера компания выбрала аппаратный дисковый массив RAID 20GB с возможностью горячей замены и резервным источником питания. Они также выбрали модемную стойку на 30 модемов и подключили ее напрямую к серверу Citrix MetaFrame.
Теперь доступ в сеть можно получить по протоколам NetBEUI или IPX/SPX, но в будущем планируется переход на TCP/IP. Пока компания выбрала NetBEUI, поскольку данные хранятся на сервере Windows NT.
Macintosh
Установка клиента Citrix MetaFrame на системе Макинтош достаточно прямолинейный процесс, аналогичный установке 32-битного клиента Windows. Перед установкой загрузите последнюю версию клиента с сайта Citrix . Клиент для Макинтош доступен на пяти языках - Английском, Французском, Немецком, Испанском и Японском. Эти файлы находятся в сжатом формате *.HQX и должны быть разархивированы соответствующей утилитой, например, StuffIt. StuffIt можно взять с сайта . Инструкции по распаковке файлов *.HQX вы найдете в справочном руководстве к StuffIt. После распаковки, откройте папку Citrix ICA Client 4.1
и дважды щелкните на икнку инсталлятора. Следуйте инструкциям, выдаваемым на экран. После установки вам следует настроить клиента.
Клиент для Макинтош не поддерживает асинхронные соединения с серверами WinFrame или MetaFrame. Тем не менее пользователи могут установить соединение по протоколу PPP к серверу RAS. Программы дозвона, использующие PPP и доступные для Макинтош, включают в себя:
MacPPP (бесплатная) все еще доступна на многих веб-архивах. Аналогичная версия включена в Mac OS 8.0 и выше. Обратитесь к справочному руководству по Макинтош. FreePPP (бесплатная): Rockstar software: Open Transport/PPP Работает с Mac OS 7.5.3 и более поздней, поставляется с Mac OS версий от 7.6 до 8.1). Open Transport наиболее распространенная утилита, поскольку включена в ОС. Apple Remote Access
Версия 2.1 поставляется как опциональное дополнение к Mac OS 8.1; Версия 3.1 поставляется с Mac OS 8.5. Существуют также плагины Macintosh Java и ALE, доступные на сайте Citrix, но они нуждаются в дополнительной настройке на сервере Citrix. Полезно почитать на сайте Citrix.
Менеджер терминальных служб
Terminal Services Manager позволяет управлять сеансами и процессами на терминальном сервере. Основные его функции:
Отображение состояния соединения
Отображение информации о пользователе и клиенте
Отображение системных и пользовательских процессов
Отправка сообщений сеансу или пользователю
Удаленное управление другим сеансом
Завершение процесса
Отключение или сброс соединения
Методы установки
Простейший способ установки терминального клиента является ручной. Однако, это утомительно. Атоматическую установку сложно вначале настроить, но потом установка будет легкой и простой. Вам не надо будет ходить расставлять по рабочим станциям клиентов.
Многопользовательское ядро
Расширение ядра для терминального сервера полностью интегрировано в семейство ядер Windows 2000. Даже если терминальный сервер не установлен на сервере Windows 2000, эти расширения все равно присутствуют.
Модемные клиенты
Модемные клиенты - это удаленные пользователи, подключающиеся к сети через стандартное решение RAS. Это означает, что они дозваниваются непосредственно на сервер RAS. Они ограничены скоростью 56Кбит/с и им требуется только программа связи и модем. Для посдедовательных линий существуют два протокола - Point-to-Point Protocol (PPP) и Serial Line Internet Protocol (SLIP).
PPP и SLIP
Это два основных протокола, используемых в настоящее время. Самый старый из них SLIP; он позволяет пользователю устанавливать последовательное соединение и передавать по нему пакеты IP. В настоящее время он повсеместно заменен протоколом PPP, поскольку он не может предоставить такой же уровень безопасности, как PPP.
PPP разработан в 1991 году и позволяет осуществлять соединения по общественным телефонным линиям или высокоскоростным соединениям. PPP делает это инкапсуляцией других протоколов в специальные сетевые управляющие пакеты. Чаще всего используются IP и IPX. PPP может заменить драйвер серевого адаптера. Это означает, что пользователь рассматривается как узел в сети. Кроме того, PPP может автоматически перезванивать в случае обрыва соединения, поддерживает аутентификацию пользователя по паролю с помощью протоколов PAP и CHAP.
Модемы
Если вы планируете использовать модемы, непосредственно подключенные к терминальному серверу, выбирайте модели, не зависящие от центрального процессора. Модемы типа 'winmodems' не подходят для ваших нужд.
Citrix Metaframe позволяет удаленным пользователям получать доступ к приложениям. Тогда возникает вопрос - будут ли пользователи звонить сразу на сервер Metaframe или на другой сервер RAS, находящийся где-то в сети.
Если у вас есть сервер RAS, то вам можно не заботиться о модемах. В противном случае необходимо выбрать модемы. Необходимо настроить Citrix MetaFrame для поддержки нескольких одновременных соединений. Если у вас есть 15 пользователей, но только 8 из них будут дозваниваться одновременно, вам необходим модемный пул минимум на 8 модемов. Вы должны включить больше модемов, чем требуется по минимуму, чтобы обеспечить нормальное функционирование при высокой нагрузке и для обеспечения отказоустойчивости в случае поломки одного из модемов. Чтобы поддерживать несколько модемов, вы можете купить модемные карты или монтируемый в стойку модемный пул.
Слово "модем" относится к аналоговым модемам. В некоторых регионах, например, в Европе, вам может потребоваться пул модемов ISDN. ISDN предоставляет цифровой доступ по медным телефонным проводам. Существует две конфигурации:
Basic Rate Interface (BRI)
Канал шириной 144 Kbps делится на один канал данных (D) со скоростью 16 Kbps и два опорных канала (B) со скоростью 64 Kbps. Каналы D могут нести избыточный траффик, а каналы B могут нести голос и данные. BRI работает по стандартным телефонным проводам. Primary Rate Interface (PRI)
Канал шириной 1.54 Mbps использует один канал D со скоростью 64 Kbps и 23 канала B со скоростью 64 Kbps. PRI использует выделенную линию T1 и не работает по обычным телефонным проводам.
При использовании дозвонки скорее всего вы будете использовать конфигурацию BRI, причем в большинстве случаев - один канал B. Однако, вы можете иметь конфигурацию PRI, допускающую дозвон 23 пользователей по разным B-каналам. Для этого необходимо специальное оборудование, маршрутизатор ISDN, который принимает звонки отдельно от сервера. Если вы купили адаптер ISDN, устанавливаемый в сервер, вам следует воспользоваться мастером установки Add/Remove Hardware в Панели Управления.
По завершении этого этапа, вам необходимо создать соединения, доступные для входящих звонков. Для этого щелните правой кнопкой мыши на My Network Places и выберите Properties, дважды щелкните на Make New Connection. После появления мастера выберите опцию Accept Incoming Connections, как показано на рисунке:
Нажмите Next и выберите интерфейс, который будет принимать звонки.
Далее выберите в Active Directory пользователей, которым разрешено подключение. Затем выберите протоколы, разрешенные для соединения. В последнем диалоге вы можете присвоить соединению имя и нажмите кнопку Finish для завершения установки.
Мониторинг
Вы должны постоянно следить за производительностью сервера для предупреждения появления узких мест и быстро их устранять в случае появления. Для этого существует много средств.
Мультесессионные приложения
Приложения типа telnet могут инициировать несколько сеансов из одного сеанса MetaFrame. Обычно такие приложения используют небольшую полосу пропускания, но их большое количество может влиять на сетевой траффик, необходимый другим приложениям. В таком случае вы можете подумать об установке дополнительных сетевых карт в сервер и помещении их в разные подсети. Разделив интерфейсы и установив статические маршруты, вы можете направить траффик ICA через один интерфейс, а остальной траффик сервера - через другой.
Накопители
Накопители на сервере Citrix MetaFrame включают в себя жесткие диски, гибкие диски, драйвы CD-ROM, ленточные накопители. В некоторых случаях серверу Citrix MetaFrame может требоваться доступ к сети хранения данных (SAN). В большинстве случаев вы приобретаете сервер в комплекте с приводом для магнитных дисков и CD-ROM.
Настройка ICA
Теперь обсудим более подробно вопросы настройки приложений. Сначала из основного меню вызовем меню Tools | ICA Settings.
На закладке General все самые важные настройки выведены в верхней части. Второй важный блок находится внизу - разрешение автоматического обновления (по умолчанию включено). Я советую не менять этой настройки. Остальное не очень важно. Поле серийного номера используется только продуктом типа WinFrame, требующим наличия у клиента серийного номера Citrix PC Client Pack. Раскладку клавиатуры также можно оставить без изменения, если только вы не используете язык, отличный от английского.
Следующая закладка - Bitmap Cache. Здесь вы можете настроить размер дискового кеша, указать каталог, указать минимальный размер кешируемого изображения. Можно получить некоторое повышение производительности, уменьшив значение (по умолчанию 8КВ). Это зависит от вашей системы. Вам также доступна кнопка для очистки кеша. Перед очисткой кеша рекомендуется закрыть все активные соединения.
На следующей закладке, HotKeys, мы видим карту переназначений клавиш. В зависимости от приложения и клиента, вам может потребоваться запретить все или некоторые настройки, установив значение "None".
На последней закладке, Events, вы можете установить параметры журнализации событий.
Эти настройки используются в повседневном конфигурировании клиента. Для более подробной информации обратитесь к Руководству Администратора Клиента Citrix (Citrix Client Administrator Guide), доступному на веб-сайте компании .
Citrix Program Neighborhood" или выберите
Щелкните иконку " Citrix Program Neighborhood" или выберите из меню Start | Programs | Citrix ICA Client | Citrix Program Neighborhood. После этого запустится основное окно клиента. Дважды щелкните на икноку "Add ICA Connection". Появится окно, в котором вы должны выбрать тип соединения:
Для нашего соединения мы выбираем "LAN", т.к. это самый общий случай. (Это также подходит для модемных соединений через сервер RAS или провайдера Интернет)
В следующем окне укажите наименование соединения, протокол и сервер, или опубликованное приложение. Вы можете назвать соединение как угодно, не обязательно оно должно совпадать с именем сервера. В качестве протокола мы выберем TCP/IP. В поле имени сервера введите либо IP-адрес, либо полностью квалифицированное доменное имя (FQDN) сервера. В нашем примере мы ввели terminator.foo.com:
Если сервер находится в одном с вами сегменте сети, то можно просто щелкнуть мышкой по стрелке и выбрать сервер из меню.
Нажмите "Next" и вы попадете в диалог, в котором вы можете указать прокси-сервер, если это необходимо. Прокси-серверы обычно используются для выхода корпоративных пользователей в Интернет. Если вы подключаетесь к удаленному серверу MetaFrame через Интернет, вам может понадобиться эта настройка. Для этого, возможно, потребуется указать нужные порты "Socks". Обратитесь за помощью к вашему администратору сети.
В следующем окне укажите имя пользователя, пароль и домен. Если вы их не заполните, эти значения будут запрошены во время подключения к серверу.
Щелкните "Next" и в следующем окне укажите желаемое разрешение и глбину цвета. Если вы не знаете, что указывать, оставьте значения по умолчанию. MetaFrame 1.8 поддерживает не более 256 цветов. MetaFrame XP поддерживает 16 млн. цветов. Щелкните "Next" и в следующем окне вы можете указать имя приложения и рабочий каталог. Не заполняйте эти поля, если хотите работать с виртуальным рабочим столом.
Нажмите "Finish" для завершения установки соединения. Иконка с новым соединением должна появиться в основном окне. Для подключения дважды щелкните на ней.
Совет
Для использования доменного имени в качества имени сервера, у вас должен быть работающий и правильно настроенный сервер DNS. Если вы не можете использовать DNS, то отредактируйте файл C:\winnt\system32\drivers\etc\hosts на клиентской машине Windows NT (для Windows 9x это файл C:\windows\hosts).
Если теперь мы вернемся в основное окно клиента и кликнем стрелку вверх, то увидим две разные иконки - "Custom ICA Connections" (содержит только что созданное нами соединение) и "Find New Application Set". Дважды щелкнем на "Find New Application Set" и начнем процесс подключения к опубликованным приложениям.
После запуска "New Application Set" появится новое окно, в котором вы должны выбрать тип соединения. На этот раз выберем WAN (глобальная сеть).
В появившемся диалоге введите описание набора приложений.
Если в диалоге спиок приложений пуст, это означает, что клиент не может получить его от сервера. Обычно это вызвано тем, что сервер находится в другом сегменте сети. Чтобы заставить клиента получить список приложений, щелкните кнопку "Server Location" и введите адрес IP сервера или его доменное имя. Причем вы можете указать адреса основного (Primary) и Резервного (Backup) серверов.
После указания адреса основного сервера, вы должны увидеть раскрывающийся список опубликованных приложений.
В следующем окне вы можете установить разнообразные опции для набора приложений - звук, цвета, размер окна. Причем в новых клиентах Win32 помимо опции стандартного разрешения можно указать: процент от размера окна, полный экран, цельное окно.
Теперь все готово к подключению к опубликованным приложениям.
Настройка клиентов Citrix Metaframe
В предыдущих разделах мы обсуждали выбор протоколов, загрузку подходящего клиента и его установку на разных операционных системах. В этом разделе мы начнем настраивать клиента. Вы увидите, что этот процесс почти одинаков на всех операцмонных системах. Некоторые клиенты могут не содержать всех доступных опций, но это незначительное различие. 32-битный клиент для Window содержит все опции.
Настройка клиентов UNIX
Клиенты UNIX имеют в основном такие же настройки, как клиенты Win32.
Если это ваша первая инсталляция, и вы проделали все вышеперечисленные шаги по установке, у вас должен быть работающий UNIX-клиент. В нашем примере мы будем использовать протокол TCP/IP, поскольку он является наиболее распространенным и совместимым проктоколом. Если вы используете другой протокол, измените эти установки в соответствии с вашим окружениемю. Замените эти адреса своими. При необходимости обратитесь к вашему сетевому администратору.
Для начала использования клиента UNIX:
Зарегистрируйтесь в системе и запустите X-Window Откройте командное окно и введите
/usr/lib/ICAClient/wfcmgr и нажмите Enter.
Или вы можете сделать так: Нажмите кнопку Launcher, которую мы раньше создали Должно появиться основное окно клиента UNIX. Вы должны увидеть пять кнопок и два спускающихся меню. Щелкните на меню "Entry", выберите "New".
Появится окно свойств нового соединения. По умолчанию оно начинается с закладки "Network". Введите имя для этого соединения. Это не обязательно должно быть имя сервера, а просто название, которым вы ссылаетесь на сервер или приложение.
Введите адрес IP или полностью квалифицированное имя сервера (например, server1.foo.com), с которым вы собираетесь соединяться. Нажмите "OK". Вы сделали настроку клиента, необходимую для подключения клиента к серверу Citrix MetaFrame server.
Другие опции в закладке "Network" позволяют указать имя пользователя, домен и пароль.
Замечание
Когда пользователи сохраняют свои имена и пароли, они сохраняются в файле appsrv.INI. Этот файл находится в скрытом каталоге ICA Client в домашнем каталоге пользователя. Имя пользователя и домен хранятся в открытом виде, а пароль - в зашифрованном. Однако, учитывая мощность современных компьютеров и риск хакерства, это может создавать проблему для безопасности. Я рекомендую никогда не сохранять пароли.
Настройка компонентов NFuse
Для конфигурации NFuse необходимо сделать две нстройки. Службу NFuse необходимо установить на одном из серверов Citrix в ферме, содержащей требуемое приложение, а расширение NFuse необходимо установить на веб-браузер, который будет представлять это приложение. После установки этих компонентов опубликованные приложения автоматически будут отображаться в списке приложений пользователя после его регистрации на сайте NFuse. Атрибуты доступа к приложениям, устанавливаемые в Citrix Published Application Manager, определяют, какие приложения доступны каким группам.
Настройка модемных соединений
Когда мы говорим о настройке модемных соединений, мы говорим о настройке сервера. Сюда входит проектирование системы, установка и активирование. Мы не описываем настройку модемного соединения на клиенте. Обратитесь к соответствующей документации клиента.
Настройка параметров утилитами Active Directory
Многие компании интегрируют MetaFrame как сервер-член в Windows 2000 Active Directory и поволяют стандартным контроллерам домена Windows 2000 нести службы DNS, репликации, функции DHCP. Хотя MetaFrame может использовать DNS и DHCP на платформе UNIX, проблем кросс-платформенности можно избежать, реализовав эти службы на контроллерах домена Windows 2000. DNS и DHCP в Windows 2000 содержат много дополнительных расширений, например, динамический DNS через DHCP, что ставит их впереди аналогичных UNIX-служб .
Мы не собираемся сильно концентрироваться на проектировании или настройке Active Directory. Мы лишь кратко рассмотрим ключевые моменты, необходимые для решения наших задач. Проектирование и внедрение Active Directory это отдельная книга, и много из таких книг уже написаны. Я очень рекомендую документ .
Citrix не рекомендует устанавливать MetaFrame на контроллер домена по причинам производительности. Если вы собираетесь устанавливать клиент-серверное приложение, вы должны установить SQL-сервер на отдельной от MetaFrame машине. Если вы хотите удаленно управлять службой каталогов, установите терминальные службы в режиме администрирования; это создает невысокую нагрузку на сервер. MetaFrame можно интегрировать в существующий Active Directory как сервер-член. В этом случае инструменты Active Directory по умолчанию не устанавливаются, поэтому вам следует ( Microsoft Management Console (MMC) для управления пользователями и группами на сервере MetaFrame.
Все пользовательские настройки находятся на закладке "Свойства" (Properties) объекта "пользователь" (user). Зайдите через консоль на контроллер домена, запустите Start | Programs | Administrative Tools | Active Directory Users and Computers.
Раскройте в левом окне ветвь "Users", дважды щелкните на имени пользователя или щелкните правой кнопкой мыши и выберите "Properties". Если вы являетесь сервером-членом или рабочей станцией, вам необходимы права администратора домена.
Внимание
Хотя контроллер домена Active Directory имеет только доменные учетные записи, сервер-член имеет как доменные, так и локальные записи. Не забывайте использовать хорошие пароли или запрещать неиспользуемые локальные учетные записи. Особенно это касается бюджета локального администратора (не оставили ли вы пароль пустым во время установки?). Иначе вы будете представлять отличную мишень для злоумышленников.
Многие новички-администраторы испытывают шок после переноса их первого контроллера домена в Active Directory. Первым делом они открывают консоль Computer Management, далее "Local Users and Groups" и смотрят, какие новые функции добавлены. После этого следует начать добавлять новых пользователей, но их встречает сообщение об ошибке и красный крест на наиболее часто используемой утилите.
На самом деле, волноваться нет причин. Просто утилита "Local Users and Groups" после модернизации сервера до контроллера домена запрещается. Помните, контроллеры домена больше не имеют локальных пользователей и групп, а существующие учетные записи преобразуются в доменные учетные записи.
Настройка правилегий
По умолчанию обычные пользователи не имеют прав установления теневых сеансов. Эта функция закреплена только за администратором. Однако, в некоторых случаях вам может потребоваться разрешить права теневых сеансов другим пользователям, например, при дистанционном обучении. Конечно, неразумно давать таким пользователям права администратора. Также не стоит предоставлять такие права на долгое время, покскольку вы не знаете, за кем они подсматривают. Если же это вам необходимо, на сервере или домене могут быть установлены особые права.
Сначала создайте новую группу. Назовем ее "Shadow group".
Затем добавьте в эту группу тех пользователей, которым вы хотите предоставить права теневых сеансов.
Теперь надо предоставить соответствующие права.
Поскольку мы все еще находимся в разделе Citrix Connection Configuration, подсветите тип соединения и выберите из меню "Permissions" пункт "Security".
Щелкните кнопку Add и выберите из списка пользователей группу "Shadow group". По умолчанию ей будут даны права "Guest Access" (госетвой доступ).
Включите флажок для предоставления прав пользователей (User Access).
Щелкните кнопку Advanced для открытия окна расширенных привилегий. Подсветите нашу группу "Shadow group" и щелкните кнопку View/Edit
Вы увидите страницу привилегий с выбранными элементами Query, Logon, Message и Connect. Здесь вы можете выбрать Shadow.
Все готово. Щелкните "OK" и вы вернетесь в окно конфигурирования соединений, а группа готова к теневым сеансам.
Настройка сеансов
После создания сенасов вы можете приступать к их настройке. Сеансы можно настроить на базе сервера, на базе соединения, на базе группы и на базе пользователя. Настройка на базе соединения делается утилитой
Terminal Services Configuration. Просто щелкните правой кнопкой мыши и выберите Properties.
На закладке General вы можете изменить имя соединения, тип соединения, тип транспорта. Вы также можете ввести свои комментарии. Здесь также можно указать уровень шифрования: низкий, средний и высокий. Низкий уровень использует одностороннее шифрование от сервера клиенту с помощью 40- или 56-битного ключа. Средний уровень использует двусторонее шифрование с 40- или 56-битным ключом. Высокие уровень использует 128-битный ключ. Вы также можете указать использовать стандартный метод аутентификации Windows NT.
Закладка Sessions позволяет установить ограничения сеанса.
Вы можете установить период неактивности, по истечении которого производится автоматическая разрегистрация. Это особенно полезно в модемных соединениях; освободившееся соединение может использовать другой пользователь. Особо умные пользователи могут "обманывать" неактивность, просто периодически перемещая мышь. Вот почему вы можете еще установить максимальное время активности сеанса. Это предотвращает "монополизирование" пользователем соединения. На закладке Sessions также можно указать, что делать при отключении пользователя - принудительно завершить сеанс или оставить его работать. Закрытие сеансов предотвращает сервер от "забивания" работающими приложениями. С другой стороны, если оставить сеанс работающим, то пользователь может позднее снова подключиться к нему и продолжить работу. Я рекомендую завершать сеансы при отключении, но оставлять работать сеансы администраторов и отдельных важных пользователей. Администраторы часто запускают процессы, требующих много времени для свой работы. Если разрешить пользователю отключаться без закрытия саенсов, то пользователь может подключиться, запустить приложение, отключиться, пойти пообедать, потом снова вернуться, подключиться и закончить работу.
Закладка Environment используется для управления двумя вещами. Во-первых, она позволяет указать программу, автоматически запускающуюся при запуске сеанса. Это позволяет настроить сеанс на запуск только одного приложения. Если программа не указана, сеанс начинается с рабочего стола. С него пользователь может запускать любое приложение, к которому имеет доступ.
Закладка
Environment также используется для запрещения обоев. Запрет обоев помогает уменьшить полосу пропускания, увеличивая скорость и реакцию сенаса. Помните - чем больше передается данных, тем медленнее сеанс.
Закладка Remote Control используется для настройки теневых сеансов. Вы можете указать, можно ли их использовать на этом соединении. Кроме того, можно указать, должно ли быть это только наблюдение или разрешается интерактивное вмешательство.
Теневые сенасы не могут быть иницированы с консоли, равно как нельзя наблюдать консоль. Единственный способ состоит в открытии клиентского сеанса с консоли - ипользовать программу клиента.
Закладка Client Settings позволяет указать, какие клиентские устройства должны обрабатываться терминальными службами.
Если вы не установили Citrix MetaFrame, некоторые опции недоступны, потому что реализованы только в MetaFrame. Здесь вы можете разрешить переназначение локальных принтеров. Вы также можете выбрать, должен ли основной принтер клиента использоваться по умолчанию после регистрации на терминальном сервере. Вы можете запретить переназначение портов LPT и COM. Запрет портов LPT предотвращает распечатку пользователями у себя документов, находящихся на терминальном сервере (это может быть конфиденциальная информация). Переназначение COM-портов позволяет использовать локальные модемы. Запрет COM-портов также предотвращает перенаправление ценной информации на локальный COM-порт. Вы также можете запретить переназначение буфера обмена, чтобы предотвратить сохранение конфиденциальных документов на локальных машинах.
Вы также можете указать для этих параметров использование настроек пользователя. В таком случае каждому пользователю или группе можно предоставить разные права.
Если вы обнаружили, что процесс регистрации идет слишком долго, отключите переназначение некоторых устройств. Я обнаружил, что чаще всего это случается при переназначении COM-портов. Если клиенты подключаются к модемному серверу, требуется очень много времени для переназначения COM-портов.
Закладка Network Adapter используется для настройки сетевого адаптера, к которому относится данное соединение. Вы можете применить настройки ко всем адаптерам или только к выбранному. Также вы можете указать максимальное число пользователей, которые могут использовать это соединение. Это может быть полезным для предотвращения чрезмерного использования отдельного соединения. Для этой же цели можно добавить еще один сетевой адаптер. Два адаптера позволяют отделить вашу внутреннюю сеть от Интернет.
Закладка Logon Settings позволяет выбрать, какую информацию использовать при регистрации пользователя.
Вы можете указать указать использовать информацию, предоставляемую клиентом (т.е. имя и пароль). Вы также можете сами указать имя и пароль. Это полезно, если вы настроили безопасность на основе какого-нибудь пользователя, а все остальные пользователи будут регистрироваться под его учетной записью. Однако, это может быть опасно. Я рекомендую указывать регистрационную информацию только для пользователей Интернет (особенно подключающихся черз веб-браузеры). В этом случае вам следует предпринять особые меры по защите сервера. Также не следует указывать здесь регистрационную информацию, если время действия пароля пользователя ограничено.
Если вы решили ограничить доступ к некоторому соединению, это можно сделать на закладке Session Permissions. Здесь вы можете указать, какие пользователи и группы могут пользоваться этим соединением. Вы также можете отпределить, какие права они получат после подключения.
Существует три уровня доступа - гость (guest), пользователь (user) и полный контроль (full control). Гостям разрешена только регистрация. Пользователи могут регистрироваться, использовать очереди и messaging. Право "Full control" предоставляет доступ ко всем функциям системы, по умолчанию оно предоставлено только SYSTEM и Администраторам. Я советую оставить тут все без изменений.
проверьте последний список совместимости оборудования
Перед покупкой оборудования и установкой RAS-устройств, проверьте последний список совместимости оборудования доя Windows 2000! Зачастую оборудование не работает из-за отсутствия соответствующих драйверов.
Установка модемов
Прежде всего нажмите кнопку Start и выйдите в Панель Управления (Settings/Control Panel). Дважды щелкните на иконку Phone and Modem Options. Если вы делаете это в первый раз, у вас запросят информацию о коде города или системе дозвона. После ввода этой информации Windows 2000 запустит апплет Phone & Modems Options. Щелкните на закладку Modems, затем на кнопку Add для запуска мастера установки. Вы можете предоставить Windows 2000 возможность самой определить тип модема, или указать его вручную из списка поддерживаемых.
Если вы выбрали устновку модема вручную, вам будет предложено выбрать COM-порт. Если вы указали Windows самой определить модем, она будет искать его на всех доступных портах и выдаст список найденных модемов. Выберите нужный модем и щелкните кнопку Next. Windows 2000 автоматически назначит порт и установит правильный драйвер. Затем должно появиться окно, говорящее о том, что модем успешно установлен.
Настройка свойств пользователя
Завершив подготовительные шаги, перейдем к настройке учетных записей. Откройте закладку свойств пользователя, выбрав Start | Programs | Administrative Tools | Active Directory Users and Computers. Там откройте ветвь пользователей, дважды щелкните на пользователе. Откроется окно свойств.
На закладке General вы можете ввести имя, инициалы, фамилию, отображаемое имя, описание, номер офиса, телефон, почтовый адрес, веб-страницу. Кнопка "Other" позволяет ввести дополнительные номера телефонов или веб-страницы.
На закладке Address вы можете ввести улицу, номер почтового ящика, город, штат/провинцию, почтовый индекс, страну.
Закладка Account используется чаще всего. Здесь вы указываете регистрационное имя, домен, имя и домен NetBIOS.
При нажатии на кнопку "Logon Hours" запускается графическая утилита настройки ограничения пользователя по времени. Простым щелчком и перетаскиванием вы легко можете ограничить рабочие часы, например, с 8:00 утра понедельника до 17:00 пятницы.
Кнопка "Log On To" позволяет указать, какие пользователи рабочей станции могут на ней регистрироваться. Под ней находится переключатель "Account locked out". Обычно он серый. Если переключатель установлен, то это означает, что было больше ошибочных попыток входа, чем дозволено вашей политикой безопасности. Нужно немедленно связться с пользователем, а также проcмотреть журналы (logs), чтобы проверить, забыл ли он пароль или была попытка несанкционированного доступа. В защищенном окружении учетная запись остается заблокированной до тех пор, пока ее не разблокирует администратор. В противном случае блокировка снимается через некоторое время, установленное в вашей политике.
Под переключателем "Account locked out" находится ряд опций. Принудительная смена пароля пользователем при следующей регистрации полезна, если вы не хотите ждать даты истечения срока действия его пароля, или когда назначаете стандартный пароль новому пользователю, который он должен немедленно сменить. Некоторые компании также предотвращают смену пароля самими пользователями. Это полезно, если у вас есть небольшое защищенное окружение и вы сами раздаете пользователям пароли. Это всегда должно быть включено для запрещенных учетных записей (например, guest), а также служб, запускаемых от имени пользователя. Не следует устанавливать переключатель "Password never expire" (срок действия пароля не ограничен). Большинство компаний устанавливают в своей политике периодическую смену пароля раз в 90-120 дней.
Остальные настройки на этой закладке позволяют запретить эту учетную запись. Запрещение (вместо удаления) неактивной учетной записи позволяет позднее восстановить ее в случае, например, длительного отсутствия работника. В самом низу закладки вы можете указать дату прекращения действия пароля.
Закладка Profile используется для установки пути к профилю для обычных сетевых соединений Windows с использованием TCP/IP или NetBIOS. Здесь также устанавливается домашний каталог пользователя. Эти настройки не оказывают влияния на настройки RDP и ICA на клиенте.
Закладка Telephones используется для указания домашнего и рабочего номеров телефона пользователя, а также пейджера, мобильного телефона, факса и IP-телефона. Тут также находится поле Notes, предназначенное для комментариев. Каждое поле имеет кнопку "Other", позволяющую вводить дополнительные телефонные номера каждого типа.
Закладка Organization содержит поля для ввода должности, департамента, компании, имени менеджера. Поле "Manager" содержит кнопку "Change", при нажатии на которую можно выбрать пользователя из списка Active Directory.
Закладка Remote Control используется только при соединении через терминальные службы. Она содержит переключатель, разрешающий или запрещающий теневые сеансы (shadowing). Здесь же вы можете установить уровень контроля - только просмотр или интерактивное взаимодействие. Именно здесь вы можете отключить требование подтверждения пользователя при установлении теневого сеанса. По умолчанию, для установления теневого сеанса необходимо подтверждение пользователя.
Закладка Terminal Services Profile использутся для настройки размещения профиля для пользователей терминальных служб. Здесь же можно указать домашний каталог пользователя терминальных служб. На этой закладке также находится переключатель, разрешающий или запрещающий регисрацию на терминальном сервере.
Закладка Member Of позволяет отобразить и изменить членство пользователя в группах. Щелкните кнопку "Add", затем выберите дополнительные группы, в которые надо добавить пользователя.
Закладка Dial-in содержит разрешения для сервера удаленного доступа (RAS). Вы можете разрешить или запретить доступ к RAS, разрешить использование политики Remote Access Policy, установить опции обратного дозвона (callback), определить адреса IP и статические маршруты для клиентов RAS. Эти настройки в обычной конфигурации не оказывают влияния на соединения терминальных служб.
Закладка Environment используется в терминальных службах и позволяет настроить начальное окружение для пользователей. В этом окне вы можете указать начальную программу, которая должна автоматически запускаться при каждой регистрации пользователя. В этом случае вы можете указать только одну программу, причем когда пользователь закрывает эту программу, происходит его разрегистрация. Вы также можете указать, можно ли клиенту подключать свои драйвы, принтеры, а также указать принтер по умолчанию.
Настройки на этой закладке переопределяют аналогичные установки, сделанные на клиенте.
Закладка Sessions также используется в терминальных службах, как с RDP, так и с ICA. Тут вы можете выбрать минимальную и максимальную продолжительность активного сеанса, время простоя, максимальное время отключения сеанса до его сброса.
Можно также установить действие, предпринимаемое при достижении лимита сеанса: отключить сеанс или завершить его. Вы можете разрешить повторное соединение с любого клиента или только с клиента, инициировавшего сеанс.
Будьте осторожны с этими опциями, поскольку можно быстро исчерпать ресурсы сервера. Устанавливая время неактивности, учитывайте программы, например, долго ожидающие ответа на запрос от SQL-сервера. С другой стороны, ограничение количества активных сеансов весьма полезно для провайдеров приложений, которым необходимо отслеживать и отключать клиентов, выработавших предоплаченное время.
Настройка терминальных служб
Утилита Terminal Services Configuration
создает, изменяет, удаляет сеансы и наборы сеансов на терминальных службах. Ее основные функции:
Добавление пользователей и групп в списки доступа
Настройка нового соединения
Управление правами доступа для соединения
Усправление настройками тайм-аутов и настройками отключения
