Сети хранения данных (SAN)
Технология Fibre Channel используется в сетях хранения данных по причине ее скорости и масштабируемости. Системы хранения данных Fibre Channel подключаются прямо к сети хранения данных:
Сети хранения данных масштабируются в терабайтах информации. Нагрузка на локальную сеть уменьшается, поскольку для обмена данными используется отдельная цепь. Сети хранения данных критичны в интернет-системах из-за их масштабируемости. Множество серверов в интернет и интранет могут иметь доступ к одной и той же базе данных. По сравнению с традиционными системами хранения данных на жестких дисках, SAN позволяет централизованное управление хранением данных. Не имеет значения, на каком файловом сервере хранится нужный файл. Кроме того, доступ к данным обеспечивается как локальных пользователей, так внешних пользователей интернет.
Если у вас в сети есть SAN, вы должны проанализировать, какой тип доступа к данным нужен пользователям, и нужно ли к SAN подключить ваш сервер Citrix MetaFrame. Однако, поскольку сервер Citrix MetaFrame традиционно является клиентом к другим серверам, маловероятно, что вам потребуется прямое взимодействие этого сервера с SAN.
Сети хранения данных (Storage Area Networks -SAN)
С ростом возможностей передачи данных становится важным быстрая выборка данных из централизованных и распределенных систем хранений данных. SAN обычно использует Fibre Channel и обеспечивает скорость передачи до 4.25 Гб/с в оба конца. Централизованное хранилище представляет собой большое устройство хранения данных, обычно RAID-кабинет, которое используется несколькими узлами. Оно обеспечивает надежное хранение данных, простоту администрирования, быструю выборку данных.
Из-за высокой скорости Fibre Channel узлы SAN могут находится как в локальной сети, так и на сравнительно большой территории.
Сетевые интерфейсы
Сетевые адаптеры используются сервером RAS для связи с остальной частью сети. Чаще всего используются 10- и 100-мегабитные адаптеры Ethernet. Скорость связи через адаптер непосредственно не влияет на производительность RAS, но влияет на связь с остальной частью сети. Для сервера, совмещающего RAS и приложения, это не имеет значения. Однако, в такая конфигурация используется редко. Чаще удаленным пользователям требуется доступ к другим сетевым ресурсам. Тут и возникает важность сетевого адаптера.
Выбор сетевого адаптера полностью зависит от типа сетевой инфраструктуры. Если вы используете 10-мегабитный Ethernet, то подойдет адаптер 10/100-Megabit Ethernet. В 100-мегабиной сети этот же адаптер даст вам скорость в 10 раз выше (теоретически).
Shadowing
Утилита Shadowing позволяет удаленно наблюдать и/или взаимодействовать с другим сеансом пользователя. Во время теневого сеанса наблюдаемый сеанс отображается в отдельном окне. В зависимости от настройки, сеанс можно либо только наблюдать, либо интерактивно взаимодействовать с ним. В интерактивном режиме все события мыши и клавиатуры передаются на наблюдаемый сеанс.
Теневые сеансы являются одним из наиболее мощных средств сервера MetaFrame и могут использоваться не по назначению. Это необходимо учитывать при предоставлении привилегий на теневые сеансы. Microsoft Windows 2000 Terminal Services и протокол RDP5 поддерживает теневые сеансы один-к-одному. Как и Microsoft, сервер Citrix MetaFrame также позволяет наблюдение один-к-одному при использовании RDP посредством утилиты Citrix Server Administration Tool. И использованием протокола ICA можно реализовывать схемы "один к одному", "один ко многим", "многие к одному". Схема "многие к одному" прекрасно подходит для обучения пользователей; например, несколько студентов одновременно могут наблюдать за действиями одного инструктора, который может удобно расположиться в своем офисе.
Внимание
По умолчанию, при установлении теневого сеанса пользователь получает выскакивающее окно с сообщением, что пользователь
\\server\user удаленно запрашивает управление сеансом и предлагает принять или отказать. Это уведомление можно отключить в профилях соединения или в индивидуальном профиле пользователя.
Существует два метода установления теневого сенаса. Первый заключается в использование панели ICA Shadow taskbar, а второй использует утилиту Citrix Server Administration. Предпочтитльно использовать первый метод, поскольку в нем больше функциональных возможностей.
Для установления теневого сеанса из Shadow Taskbar выполните следующие шаги:
Щелкните Start | Programs | MetaFrame Tools | Shadow Taskbar, или просто щелкните иконку "Shadow taskbar" в нижней части панели MetaFrame.
Запустится панель Shadow. В верхней части экрана должна появиться новая панель инструментов.
Щелкните кнопку Shadow и появится окно опций.
Раскройте папку Users в левом окне и подсветите нужного пользователя. Возможно, для построения списка пользователей может потребоваться несколько секунд.
Щелкайте кнопку Add до тех пор, пока все нужные пользователи не появятся в правом окне. Нажмите OK для установления теневого сеанса.
Пользователю будет выдано окно с запросом разрешения на наблюдение за ним (это установлено по умолчанию; смотрите выше).
Если пользователь принимает теневой сеанс или отключено уведомление, вы можете видеть и/или взаимодействовать с его сеансом. В панели задач Shadow появится новая кнопка для каждого наблюдаемого сеанса. Вы можете переключаться между теневыми сеансами, щелкая соответствующую кнопку. Для выхода из теневого сеанса нажмите CTRL-* (по умолчанию) или ту комбинацию клавиш, которую вы указали сеанса. Вы также можете щелкнуть правой кнопкой мыши на панели задач и выбрать "Stop Shadow".
Шифрование
Клдиенты Win32 поддерживают роасширенное шифрование RSA RC5 (правда, для этого необходимо расширение сервера и специальный клиент). Теперь доступно шифрование с ключами 40-, 56- и 128 бит. Это значительно повышает безопасность ICA-соединений. Если вы озабочены повышенной защитой, обратите внимание на SecureICA
Терминальные службы предоставляют три уровня шифрования- 40-бит, 56-бит и 128-бит. Вы можете использовать 128 бит, или "сильное шифрование,", только в США и Канаде. 14 января 2000 правительство США приняло закон, разрешающий продажу за границу продуктов с "сильным шифрованием". Ранее разрешалось продавать только 40- и 56-битные продукты. Подробнее смотрите на сайте . Пакет шифрования можно загрузить с .
Ранее служба Secure ICA продавалась
Ранее служба Secure ICA продавалась отдельно от MetaFrame. В FR1 включено шифрование по алгоритму RC5, разрешающее использование 40-, 56- и 128-битного шифрования пользовательских сеансов. Если оно включено, при регистрации используется 128-битное шифрование. Этот метод использует симметричный алгоритм RSA для шифрования и расшифровки данных, и алгоритм Диффи-Хеллмана согласования ключей для генерации секретных ключей. Если включено, то шифруется весь траффик ICA. Уровень шифрования можно настроить на уровне соединений или на уровне приложений.
Шифрование RDP
Для обеспечения защиты соединения клиента с сервером, RDP поддерживает три уровня шифрования. Вы сами можете выбирать, какой уровень больше подходит для вашей организации. UDP использует алгоритм шифрования RC4. Доступные уровни шифрования следующие:
Low. Данные шифруются только в одном направлении, от клиента к серверу. Сервер отсылает незашифрованные данные. Клиент Windows 2000 RDP использует 56-битный ключ шифрования, а более старые клиенты - 40-битный. Medium. Данные шифруются в обоих направлениях. Типы ключей остаются те же. High. Для шифрования используется 128-битный ключ. Эта опция доступна только для США и Канады.
"Short and Drop"
Citrix Program Neighborhood позволяет пользователям для своих приложений создавать ярлыки на рабочем столе. Для этого на машине пользователя достаточно щелкнуть правой кнопкой мыши на пиктограмме и выбрать из меню Create Desktop Shortcut.
Эти пиктограммы нельзя скопировать на рабочий стол другого пользователя; он должен создать их сам.
Системные требования для Terminal Services
Windows 2000 Server требует значительно больше ресурсов, чем сервер NT 4.0. В таблице показаны рекомендуемые аппаратные требования для Windows 2000 Terminal Services для 100 пользователей.
| Минимальные требования | Рекомендуемая конфигурация |
| Процессор Pentium 133 | Четырехпроцессорная система PIII-450 или мощнее |
| 128 Mb RAM | 2 Gb RAM |
| Минимум 1Гб свободного места на жестком диске (может быть значительно больше, в зависимости от выбранных вами компонентов). | Достаточно места для поддержки дополнительной виртуальной памяти и растущего SAM для каждого пользователя. |
| Монитор VGA или лучше, стандартная клавиатура, стандартная мышь | Те же требования, что и к серверу Windows 2000 |
Скорость обновления меню Start
Вы можете увеличить скорость обновления, чтобы уменьшить время ответа в меню.
"HKEY_USERS\DEFAULT\Control Panel\Desktop"
Добавьте значение: MenuShowDelay REG_DWORD: 10
Скрипты совместимости приложений
Скрипты совместимости приложений (Application Compatibility Scripts -ACS) помогают настроить окружение для приложений, не написанных специально для многопользовательской среды. Microsoft предлагает несколько готовых скриптов при установке Terminal Services. Эти скрипты выполняют необходимые изменения для большинства популярных приложений. Они перечислены в таблице.
| cofc8ins.cmd | Corel WordPerfect Suite 8 |
| coffice7.cmd | Corel Office 7 |
| coffice8.cmd | Скрипт установки Corel WordPerfect Suite 8 для администратора |
| diskpr20.cmd | DiskKeeper 2.0 |
| eudora4.cmd | Eudora Pro 4.0 |
| msexcl97.cmd | Самостоятельный Excel 97 |
| msproj95.cmd | Microsoft Project 95 Multiuser Application Tuning |
| msproj98.cmd | Microsoft Project 98 Multiuser Application Tuning |
| mssna30.cmd | SNA Server 3.0 |
| msvs6.cmd | Microsoft Visual Studio 6.0 |
| msword97.cmd | Самостоятельный Microsoft Word 97 |
| netcom40.cmd | Netscape Communicator 4 |
| netnav30.cmd | Netscape Navigator 3.x |
| odbc.cmd | ODBC. Всегда запускайте этот скрипт и переводите систему в режим инсталляции до создания любого источника данных |
| ofc43ins.cmd | MS Office 4.3 - отредактируйте и запустите этот скрипт |
| office43.cmd | MS Office 4.3 |
| office95.cmd | Microsoft Office 95 - обязательно прочтите инструкции в конце. |
| office97.cmd | Microsoft Office 97 |
| outlk98.cmd | Outlook 98 |
| pchtree6.cmd | PeachTree Complete Accounting 6.0 |
| pwrbldr6.cmd | Power Builder 6.0 |
| sna40cli.cmd | SNA Client 4.0 |
| sna40srv.cmd | SNA Server 4.0 |
| ssuite9.cmd | Lotus SmartSuite 9 |
| ssuite97.cmd | Lotus SmartSuite 97 |
| visio5.cmd | Visio 5.0 |
| winmsg.cmd | Windows Messaging |
Большинство из этих скриптов помещают скрипт регистрации в каталог \Application Compatibility Scripts\logon
и вызываются из скрипта usrlogon.cmd.
Ниже приведено содержимое файла usrlogon.cmd.
@Echo Off Call "%SystemRoot%\Application Compatibility Scripts\SetPaths.Cmd" If "%_SETPATHS%" == "FAIL" Goto Done Rem Rem Это для скриптов, не требующих Rootdrive. Rem If Not Exist "%SystemRoot%\System32\Usrlogn1.cmd" Goto cont0 Cd /d "%SystemRoot%\Application Compatibility Scripts\Logon" Call "%SystemRoot%\System32\Usrlogn1.cmd" :cont0 Rem Rem Определяем букву драйва домашнего каталога пользователя. Rem Если она не определена, выходим. Rem Cd /d %SystemRoot%\"Application Compatibility Scripts" Call RootDrv.Cmd If "A%Rootdrive%A" == "AA" End.Cmd Rem Rem Назначить букву драйва домашнему каталогу пользователя Rem Net Use %Rootdrive% /D >NUL: 2>&1 Subst %Rootdrive% "%HomeDrive%%HomePath%" if ERRORLEVEL 1 goto SubstErr goto AfterSubst :SubstErr Subst %Rootdrive% /d >NUL: 2>&1 Subst %Rootdrive% "%HomeDrive%%HomePath%" :AfterSubst Rem Rem Запускаем каждый скрипт. Application Scripts автоматически добавляются Rem к файлу UsrLogn2.Cmd при запуске скрипта установки. Rem If Not Exist %SystemRoot%\System32\UsrLogn2.Cmd Goto Cont1 Cd Logon Call %SystemRoot%\System32\UsrLogn2.Cmd :Cont1 :Done
Этот скрипт сначала вызывает setpaths.cmd
для настройки переменных окружения. Это позволяет в остальных скриптах не указывать точные маршруты.
Затем UsrLogon.cmd проверяет существование файла usrlogn1.cmd, создаваемого в том случае, когда установленный скрипт совместимости не нуждается в <RootDrive>, и, если он есть, выполняет его.
Usrlogn1.cmd вызывает другие скрипты из каталога \winnt\Application Compatibility Scripts\logon. Usrlogon.cmd затем проверяет, установлена ли переменная <RootDrive>, и в случае положительного результата проверки запускает команду subst
для подключения <RootDrive> к пользовательскому каталогу %homedrive%%homepath%. UsrLogon.cmd затем вызывает usrlogn2.cmd, который в свою очередь вызывает другие скрипты, нуждающиеся в <Rootdrive>.
ACS содержат процедуру, называемую <RootDrive>. Эта процедура разработана для компенсирования недостатка NT 4.0, которая не могла переназначить корневой каталог буквы драйва за пределами share point, как это делает команда MAP ROOT в Novell. Процедура <RootDrive> берет пользовательский <HomeShare>, обычно \\server\users\%username%, и использует его в команде subst для назначения драйва пользовательскому <HomeShare>. Используя только функции NT, пользовательский <HomeShare> назначается на w:\jsmith. С этим маршрутом было трудно настроить приложения, ссылающиеся на W:\%username%; но с помощью <RootDrive> система может взять другую букву, например, U:, и присвоить ее w:\jsmith, создавая корневой каталог "U:" на <HomeSpace>. Тогда можно легко настроить приложения, указав каталоги относительно U:\. Windows 2000 теперь может назначать корневой диск на каталог, лежащий ниже share point; это очень эффективно.
При установке нескольких ACS вам будет предложено указать букву Rootdrive путем открытия файла RootDrv2.cmd в Notepad. Указав нужную букву, закройте Notepad и сохраните файл, а затем продолжите установку. Вы можете указать ту же букву, что и для каталога пользователя, но в этом случае раскомментируйте строчки subst в файле usrlogon.cmd в каталоге \winnt\system32. Это требует, чтобы для каждого пользователя на закладке Profile его учетной записи были установлены домашний драйв и каталог.
Если указаны драйв и каталог, вызов команды subst закончится неудачей и будут сохранены настройки, указанные в AD. Если домашний драйв и каталог не указаны, ом будет присвоена правильная буква драйва, и настройки приложений будут помещены туда.
rem Net Use %RootDrive% /D >NUL: 2>&1 Subst %RootDrive% "%HomeDrive%%HomePath%" rem if ERRORLEVEL 1 goto SubstErr rem goto AfterSubst :SubstErr rem Subst %RootDrive% /d >NUL: 2>&1 rem Subst %RootDrive% "%HomeDrive%%HomePath%" :AfterSubst
Вы легко можете создать собственные скрипты совместимости для приложений, не указанных в . Просто определите требования, которые предъявляет приложение, и составьте скрипт для удовлетворения этих требований. Вот пример ACS для Attachmate's Extra Client. Это приложение требует, чтобы каждый пользователь имел каталог \extra\user. Этот скрипт запускается из Usrlogn2.cmd, который в свою очередь вызывается из usrlogon.cmd. Он проверяет Rootdrive пользователя наличие каталога \extra\user, и если этого каталога не существует, создает его, а затем копирует начальные файлы из каталога шаблонов программы.
@echo off if not exist %homedrive%%homepath%\extra\user\. goto mkdir goto end :mkdir md %homedrive%%homepath%\extra md %homedrive%%homepath%\extra\user goto copyfiles :copyfiles xcopy n:\extrawin\user %homedrive%%homepath%\extra\user /e >nul goto end :end
Смешанный режим
Смешанный режим является компромиссом между функциональностью и производительностью Active Directory. В этом режиме некоторые функции Active Directory недоступны. Групповая политика и политики NT 4.0 плохо работают друг с другом. Хотя возможна совместная работа NT Terminal Services и серверов Windows 2000 MetaFrame, трудно реализовать перемещаемые профили, политики и приложения. Во многих случаях пользователи ощущают разницу между NT 4.0 Terminal Services и Windows 2000 server.
Советы по обновлению RAS
Windows 2000 существенно превосходит предыдущие попытки Microsoft создать службу удаленного доступа. С ростом числа удаленных пользователей сами системы RAS становятся все более устойчивыми. Одной из потенциальных дилемм, с которой вы можете столкнуться, является обновление существуюшей службы удаленного доступа или установка чистой Windows 2000. Всегда лучше ставить систему на "чистую" машину; хотя Microsoft улучшила процесс обновления, он все еще далек от совершенства.
От Microsoft есть мало информации о том, как обновить службу удаленного доступа. Однако, это может быть важным для вас, если вы обновляете одну из предыдущих версий Windows.
Основное пожелание связано с вашим оборудованием удаленного доступа. Оно должно быть совместимо с Windows 2000. Для старых конфигураций это не проблема, Microsoft включила сотни драйверов в инсталляцию Windows 2000.
Однако, некоторые призводители могут поставлять драйверы, несовместимые с Windows 2000. Обязательно посетите веб-сайт производителя чтобы убедиться, что вы имеете самые последние драйверы для любого оборудования, которое устанавливается на сервере RAS.
Служба RAS в NT 4.0 очень сходна с такой же службой в NT 3.51. Обе они основаны на базе удаленного доступа к сети (dial-up networking) от клиента к серверу. Пользователям разрешается использование RAS кнопкой "Dial in" в свойствах индивидуального пользователя в "User Manager for Domains". При обновлении до Windows 2000 server, вся эта информация теоретически перемещается в Active Directory. Пользователи, сконфигурированые на использование RAS в NT 4.0, будут аналогично сконфигурированными для Windows 2000.
В реальности процесс обновления не такой простой. Многие администраторы рекомендуют удалить Службу удаленного доступа в NT 4.0 перед обновлением. Позже, когда сервер Windows 2000 настроен и работает, переконфигурируйте RAS. Это потребует больше усилий, но избавит вас от головной боли в дальнейшем.
Создание базы данных клиентов
Если вы поддерживаете много клиентов, вы можете найти утилиту "Client Auto Update" чрезвычайно полезной. Нужно лишь разобраться, как она работает. Вот основные принципы ее работы:
Вы храните новые версии клиентов в центральной базе данных на сервере Citrix. При подключении клиента к серверу он сравнивает версию клиента с хранящейся в базе данных, и в случае необходимости обновления инициирует автоматическую загрузку. У вас есть полный контроль за обновлением каждого клиента Вы можете восстановить старую версию клиента в случае программных ошибок, поврежденных файлов и т.д.
Auto Update работает на всех транспортных протоколах, включая TCP/IP, IPX, NetBIOS, последовательные соединения.
Тем не менее, существуют определенные ограничения:
Auto Update работает только с новыми версиями клиентов. Версии 727 и выше должны работать правильно. Если версия слишком старая, вам сначала следует выполнить обновление вручную.
Auto Update может обновлять версии клиента только одного типа. Например, можно обновить ICA Win32-bit Client 741 до ICA Win32-bit Client 779. Но нельзя обновить 16-битного клиента до 32-битного клиента.
Для профессионалов
Шаги, которые необходимо предпринять на сервере MetaFrame для создания базы данных обновления:
Для входа в программу настройки базы данных, щелкните кнопку Start|Programs|MetaFrame Tools|ICA Client Update Config Из меню "Database" выберите "New" Введите полное имя базы данных. По умолчанию создается файл DBConfig.INI в каталоге \systemroot\Ica\Clientdb.
Для NT4 и MF1.8 это будет C:\wtsrv\Ica\Clientdb\DBConfig.INI
Для Windows 2000 и MF1.8 C:\Winnt\Ica\Clientdb\DBConfig.INI
Если вы хотите настроить несколько серверов Citrix для использования одной общей базы, поместите этот файл на ресурс в сети с разделяемым доступом. После того, как вы добавили базу данных, вы должны добавить версии клиентов, которые будут использоваться при автоматическом обновлении. Из меню "Client" выберте "New" Вы должны увидеть диалог "Description". Выберите файл Update.INI, находящийся в каталоге disk1 инсталляции клиента или вашей заранее настроенной инсталляции, или введите полное имя файла. На экране отобразятся имя клиента, версия, продукт, модель и иконка. Вы можете изменить комментарии. Для продолжения щелкните "Next".
Должна появится закладка "Update Options". Здесь вы должны выбрать режим обновления (спросить пользователя, уведомить пользователя или прозрачное обновление), сделать проверку версии (только обновить старую версию клиента или обновить любую версию клиента), сделать принудительное отключение или запустить загрузку в фоновом режиме, а также добавить собственное сообщение, которое будет выводиться на клиентской консоли.
Щелкните "Next" и вы предстанете перед закладкой "Logging". Вы можете выбрать регистрацию в журнале загруженных клиентов и регистрацию ошибок. Включите по крайней мере регистрацию ошибок. Щелкните "Next", установите флажок "Enable Client", чтобы обновлять до версии, хранящейся в вашей базе данных. База данных может хранить несколько версий одного и того же клиента, но только одну версию для каждой модели. Когда вы разрешаете одну версию, все остальные версии автоматически запрещаются. Щелкните Finish для завершения процесса настройки автоматического обновления. Если хотите, щелкните правой кнопкой мыши на клиенте и выберите свойства. Теперь вы увидите дополнительную закладку "Client Files". Это список имен файлов и их размеров, которые автоматически будут загружены клиенту. Теперь вы можете откинуться на спинку кресла и радоваться плодами вашего труда, когда множество пользователей будут обновлять своих клиентов без вашего участия.
Создание дискетт DOS ICA Client
Для создания установочных дискетт введите команду
EE000779.EXE -d
Опция -d воссоздает оригинальный каталог установки таким образом, чтобы файлы клиента можно было скопировать на гибкие диски. Вам понадобятся две отформатированные чистые дискетты 1.44Мб. Вам следует пометить их как ICA 32 DOS Disk 1 и ICA 32 DOS Disk 2. Скопируйте файл EE000779.EXE во временный каталог, например, C:\temp, и запустите EE000779.EXE -d. После распаковки образуется следующая структура каталогов:
c:\temp\README.txt c:\temp\disk1\ c:\temp\disk2\
Вставьте дискетту 1 и скопируйте на нее все файлы из каталога disk1. Затем вставьте дискетту 2 и скопируйте на нее содержимое каталога disk2. Запустите install.exe и следуйте инструкциям установки.
Создание файлов ICA
Файлы ICA используются в технологии Citrix Application Launching and Embedding (ALE) для предоставления информации о соединении ICA для Netscape Plug-In, ActiveX, клиентов Java. Файл ICA может определять приложение двумя способами: внедрением (embedding) и запуском (launching).
Внедренные приложения
В этом режиме приложения запускаются внутри окна браузера и приложение запускается при загрузке страницы. Запуск приложения
Этот метод предлагает пользователю нажать ссылку на веб-странице, которая открывает приложение в новом окне.
Для создания и редактирования файлов ICA используется обычный текстовый редактор. Пример файла ICA показан ниже:
; Notepad.ICA - ICA file to access a Customer Database using Microsoft Access ; ; The [ApplicationServers] section contains the name of the ; connection or published application defined by the ICA file. ; The name below (Access) appears in the title bar of the client window. ; [ApplicationServers] Notepad= ; The section describes the attributes of the connection or ; published application defined in the [ApplicationServers] ; section above. ; The name in the square brackets must exactly match the name defined in ; the [Application Servers] section above; in this example, Access. ; [Notepad] TransportDriver=TCP/IP Address=192.168.100.13 WinStationDriver=ICA 3.0 Username=tmg Domain=tmg-win2k Password=010101010 InitialProgram=m:\winnt\system32\notepad.exe WorkDirectory=m:\wtsrv\system32 UseAlternateAddress=0 ; KeyboardTimer=100 MouseTimer=50 ; ; Use either ScreenPercent or DesiredHRES and DesiredVRES to specify ; the size of the client window. ; ScreenPercent=75 DesiredHRES=640 DesiredVRES=480 DesiredColor=2 ; The [WFClient] section describes the WinFrame Client. ; [WFClient] Version=2
Секция [ApplicationServers] определяет удаленное приложение. Эта секция содержит следующие поля:
[Application Server]
Заголовок секции. Он необходим.
EntryName=
Определяет имя удаленного приложения. После имени следует знак равенства. Это имя используется для отображение в заголовке окна. В нашем примере это Notepad.
Секция [EntryName]
Начинается c EntryName, определенного в секции [ApplicationServers] или [Access]. Секция [EntryName] содержит следующие поля:
TransportDriver=
Тип транпорта. Обычно указывается TCP/IP, но допустимы значения IPX, SPX или NetBIOS. Это необходимое поле.
Address=
Адрес удаленного сервера Citrix. Для TCP/IP это может быть имя DNS или адрес IP. или имя опубликованного приложения. Для IPX, SPX и NetBIOS это может быть именем сервера Citrix или именем опубликованного приложения. Это необходимое поле.
WinStationDriver=ICA 3.0
Определяет протокол презентации ICA 3.0. Это необходимое поле.
Username=
Определяет регистрационное имя пользователя. Необязательное поле.
Domain=
Определяет домен для регистрации. Необязательное поле.
Password=
Определяет пароль пользователя. Необязаьельное поле. Если пароль указан, он должен быть зашифрован. Для ввода зашифрованного пароля, используйте Citrix ICA Client Remote Application Manager New Entry Wizard для создания записи приложения. На вопрос имени и пароля, введите пароль. Завершите мастер. Откройте файл APPSRV.INI в каталоге Windows и найдите в нем созданный вами раздел. Скопируйте оттуда пароль и вставьте его в файл ICA.
ClearPassword=
Определяет текстовый незашифрованный пароль пользователя. Необязательное поле. Для использования незашифрованного пароля поле Password должно быть пустое (например, Password=).
InitialProgram=
Определяет путь к приложению на сервере Citrix, которое автоматически запускается при подключении. Вы можете указать любое количество опций командной строки. Это необязательное поле. Если оно не заполнено, будет запущен Program Manager. Если имя лпубликованного приложения указано в поле адреса Address, то имя опубликованного приложения в этом поле должно быть с приставкой '#', например, #Database. Имя должно в точности совпадать с именем в поле Address.
WorkDirectory=
Определяет рабочий каталог приложения.
ScreenPercent=
Определяет горизонтальное и вертикальное разрешение в пикселах как процент от размера рабочего стола. Если это поле присутствует, то значения полей DesiredHRES и DesiredVRES игнорируются.
DesiredHRES=
Определяет горизонтальный размер окна в пикселах.
DesiredVRES=
Определяет вертикальный размер окна в пикселах.
DesiredColor=1 | 2
Устанавливает глубину цвета. 1 означает 16 цветов, 2 - 256 цветов. По умолчанию устанавливается 2 (256 цветов).
UseAlternateAddress=0 | 1
Это необязательное поле, используемое при доступе к Citrix через межсетевые экраны. Экраны используют трансляцию адресов для преобразования открытых (Интернет) адресов во внутренние приватные адреса IP. Если клиент ICA настроен на адрес TCP/IP, он посылает прямую датаграмму UDP на сервер через порт 1604. Для успешной связи между клиентом ICA и сервером Citrix через экран, экран должен настроен так, чтобы пропускать пакеты UDP через порт 1604. Адрес сервера настраивается в Remote Application Manager выбором Settings из меню Options. Если указано фиксированное размещение сервера, клиент ICA запрашивает у сервера адрес ICA master browser. Если клиент ICA подключается к серверу или опубликованному приложению по имени, ICA Master Browser возвращает адрес желаемого сервера или опубликованного приложения.
Если указана опция UseAlternateAddress=1, клиент запрашивает альтернативный IP-адрес сервера Citrix. Опцию UseAlternateAddress можно использовать только в соединениях TCP/IP.
KeyboardTimer=value
Указывает интервал в миллисекундах накопления нажатий клавиш перед посылкой на сервер Citrix. Значение по умолчанию 100 мс оптимизировано для WAN; для модемных соединений или LAN уменьшение этого значения может повысить реакцию системы. Использование слишком малого значения может вызвать появления большого числа небольших пакетов в сети, что может повлиять на ее производительность.
MouseTimer=value
Определяет интервал в миллисекундах накопления событий маши перед отправкой на сервер. Значение по умолчанию 100 мс оптимизировано для WAN; для модемных соединений или LAN уменьшение этого значения может повысить реакцию системы. Использование слишком малого значения может вызвать появления большого числа небольших пакетов в сети, что может повлиять на производительность сети.
Создание инсталляции
При публикации приложений для пользователей Интернет основная конфигурация выполняется на этапе начальной установки. С использованием Published Application Manager создаются файлы .ICA и .HTM. Эти файлы надо вместе поместить в папку, куда указывает ссылка Published Application Internet.
Зарегистрируйтесь на сервере Citrix и запустите Published Application Manager.
Щелкните правой кнопкой на имени опубликованного приложения, из меню выберите Write ICA File.
Выберите степень ассистирования и щелкните Next.
Выберите атрибуты отображения приложения. Можно задать в пикселах или в процентах от размера экрана. Это размер для окна браузера, не обязательно для приложения. Выберите количество цветов и щелкните Next.
Выберите уровень шифрования Basic. Для использования более высоких уровней шифрования необходимо наличие установленного Citrix Secure ICA Services.
Введите имя и каталог размещения файлов ICA. Этот файл будет сохранен на общем ресурсе и к нему будет создана гипертекстовая ссылка на веб-сайте. Выберите, нужно ли создавать шаблон HTML для приложения. Если не хотите, выберите No и нажмите Finish. Если вы хотите создать шаблон, выберите Yes и щелкните
Next.
Создание образа
Создание образа жесткого диска такими программами, как или
являются более поздним методом резервирования и восстановления, а также для создания новых серверов из одного и того же образа. Недостаток этого метода состоит в том, что сервер при создании образа должен находиться в нерабочем состоянии. В идеале лучше иметь параллельный сервер, который можно остановить и сделать с него образ; затем на нем можно проверить изменения. Если они неприемлимы, делается восстановление с образа. В случае успеха делается новый образ и объявляется "master image". Этот образ далее применяется ко всем серверам фермы. Это гарантирует, что на всех серверах будут установлены одни и тот же пакеты обновления, заплаты, модификации реестра и т.п. Большинство образов среднего сервера занимают около 2GB и требуют для восстановления около 20 минут.
Как-то я на одном большом заводе устанавливал несколько серверов MetaFrame для предоставления доступа к Microsoft Office 97 для службы поддержки пользователей. Цель состояла в уменьшении числа проблем, которые вызывали пользователи со своими машинами. Мы настроили клиента на Windows NT Workstation 4.0, заблокировали рабочий стол, назначили обязательные профили "только чтение". Мы настроили Program Neighborhood для создания ярлыков Office на рабочем столе и поместили Outlook 98 в группу автозагрузки. При регистрации запускался Outlook и устанавливалось соединение ICA,позволяя остальным приложениям запускаться быстрее. Из-за обязательных профилей мы использовали KiXtart (расширенный процессор скриптов регистрации, его можно бесплатно взять на ) для определения важных переменных для настройки профиля Outlook.Мы использовали единый скрипт регистрации для всей компании и логические операторы для определения того, какие операции следует произвести в зависимости от принадлежности той или иной группе. Мы добавили раздел для запуска процедуры конфигурации профиля Outlook на базе группы пользователя и имени машины. Другой администратор добавил раздел таким образом, что наш раздел пропускался. На следующее утро после регистрации никто не мог запустить Outlook. После нескольких часов поисков причины, почему не создавался профиль, мы обнаружили команду, вызывающую обход нашего раздела. Тот администратор не подозревал, что его изменения затронут наш проект, но с точки зрения клиентов и конечных пользователей это была наша
ошибка. Вот почему вы должны иметь механизм контроля изменений. Все ваши изменения должны быть проанализированы, одобрены и задокументированы, чтобы в случае возникновения проблемы вы смогли быстро в ней разобраться.
Создание сеанса
Ваши клентские соединения определяют, какие клиенты и каким образом они будут подключаться. При установке терминальных служб автоматически создается соединение по умолчанию. Вы можете настроить его с помощью утилиты Terminal Services Configuration.
Перед тем, как мы рассмотрим процесс создания нового соединения, давайте немного поговорим о пользовательских сеансах терминальных служб. Перед внедрением терминального сервера вы должны представлять, сколько пользователей будут одновременно использовать ваш сервер и каким образом они будут к нему подключаться. Убедитесь, что ваше оборудование способно поддерживать достаточное число пользователей. Процессор 500MHz Pentium III способен поддерживать до 40 сеансов, а каждый сеанс требует 20MB RAM. Эти 20MB необходимы только для установления сеанса, во время работы может потребоваться значительно больше. Обычному пользователю для запуска приложений и нормальной работы требуется около 40MB RAM.
Далее вам необходимо определиться с лицензированием. Существует две опции лицензирования - по серверу (per server) или по месту (per seat). При лицензировании "по серверу" существует максимальное число одновременных соединений. При лицензировании "по месту" каждый клиент, подключающийся к серверу, будет иметь свою собственную клиентскую лицензию. Для всех сетевых клиентов я рекомендую лицензирование "по месту", а для всех интернет-клиентов - лицензирование "по серверу".
Далее вы должны решить, какие типы соединений нужно создать. Учтите, что Windows 2000 Terminal Services, в отличие от Citrix Metaframe, не поддерживают большого разнообразия клиентов. Кроме того, вы ограничены TCP-соединениями (с использованием RDP) и модемом.
Давайте создадим соединение:
Щелкните правой кнопкой мыши в окне
Terminal Services Configuration
Выберите New. Выберите тип соединения. По умолчанию установлен Remote Desktop Protocol (RDP) 5.0 Выберите уровень шифрования. Выберите, какой уровень доступности удаленного управления следует установить
Укажите название данного соединения и тип транспорта. По умолчанию тип транспорта TCP.
Ваше соединение может быть доступно для всех сетевых адаптеров, или только для выбранных.
Мастер скажет, что создание нового соединения завершено.
Каждое соединение должно иметь уникальный тип: либо транспорт, либо адаптер. Если вы попытаетесь создать дубликат соединения без изменения одного из этих параметров, вы получите сообщение об ошибке. Многие администраторы думают, что могут создать два соединения для одного логического соединения и установить разные уровни доступа или параметры пользователя. Это невозможно. Если у вас есть только одно логическое соединение, вы должны установить параметры группы или индивидуального пользователя, чтобы разные пользователи имели разные настройки.
Создание собственной консоли MMC для групповой политики
Чтобы вы могли управлять групповыми политиками, вам следует вручную добавить компонент, создав собственную MMC. Этот процесс аналогичен созданию MMC для Active Directory. Щелкните кнопку "Start", выберите "Run" и введите в коне Open "mmc". into the Open window. Откроется пустое окно MMC. Из меню Console выберите
Add/Remove Snap-in. Откроется окно Add/Remove Snap-in.
Щелкните Add, и в окне Add Standalone Snap-in появится список самостоятельных компонентов. Выберите Group Policy. Щелкните OK и теперь можете выбрать объект политики Local Computer, или можно щелкнуть кнопку Browse для выбора в локальном домене.
Эту консоль вы можете сохранить под каким-нибудь именем, тогда она автоматически добавится в список Administrative Tools. Щелкните OK для открытия компонента Group Policy, который вы только что создали, и можете приступать к настройке пользовательского окружения.
Обратите внимание, что по умолчанию установки для Computer
объявлены как
"Not defined.". Это означает, что при применении политики они будет игнорироваться. Дважды щелкните на названии и затем привяжите вашу политику к контейнеру, к которому вы хотите ее применять. Наилучший способ освоить групповые политики - это пробовать все делать самим. Если политика не работает или делает не то, что требовалось, просто удалите ее.
Мы уже упомянули, что политики могут применяться как локально, так и не локально. В следующем примере мы добавим три компонента в консоль MMC групповых политик. Мы будем использовать политику Local Computer Policy, объект политики новой группы New Group Policy Object (созданной как новый объект политики для домена kbeta.com вместо использования политики по умолчанию для домена (Default Domain Policy), а также компоненты Active Directory Users and Computers для демонстрации наследования.
Столбец "Policy" определяет политику. В этом примере вы обращаем внимание на установку Password Policy. Local Setting отображает установку по умолчанию для истории паролей (0), максимального срока (0), минимальной длины пароля (0) и сложности (Disabled).
В следующем примере мы увидим, что изменится после применения политики к домену с разными настройками Password Policy. Local Settings остались теми же, но Effective Settings прняли значения, которые мы присвоили домену.
Во всех случаях (за исключением, которое мы упомянули ранее), политики домена применяются до применения локальных политик.
Это позволяет адинистраторам сделать некоторые настройки обязательными сковзь весь домен. Эти настройки будут применяться к службам, настройкам регистра, правам к файлам и папкам.
Чтобы подробнее разобраться с настройками политик, посмотрим на установки для пользователя. Это можно сделать, открыв компонент User Configuration | Administrative Templates | Windows Components | System, мы увидим единственную опцию "Run Only Allowed Windows Applications".
Это рекомендуемая установка позволяет защитить вашу систему. Большинству клиентов требуется доступ к небольшому числу приложений, и совершенно необязательно давать права ко всему рабочему столу. Для включения ограничений вам следует добавить необходимые приложения, и применить эту политику к контейнеру группы. Ваши корпоративные пользователи будут использовать свои рабочие столы и нужные приложения, к которым вы разрешили доступ, в то время как сервер будет защищен от нарушителей.
Существует много таких ограничений, некоторые из них могут применяться к "внутренним" или корпоративным пользователям, например, запрет команды Run, вывод "Logoff", и даже запрет на изменение своей домашней веб-страницы.
Внимание
Установка "Run Only Allowed Windows Applications" не дает железной защиты от запуска приложений. Она запрещает запуск приложений только из Windows Explorer. Это не предотвращает запуск приложений из Панели Задач, с командной строки или других источников. Если вы включили эту установку, запретите также использование командной строки ( "Disable the Command Promp"). Проверьте также права доступа ко всем чувствительным EXE-файлам.
Создание собственной консоли управления (MMC)
Как мы упомянули ранее, если вы не установили MetaFrame на контроллер домена, у вас не будет компонента "Active Directory Users and Computers". Чтобы управлять пользователями и группами вам следует вручную добавить этот компонент. Это довольно простой процесс. Многие функции администрирования можно собрать в "Избранное" - список наиболее часто используемых утилит. Дла начала щелкните 'Start' и выберите 'Run'. Введите mmc. После этого запустится новое пустое окно MMC. Из меню "Console" выберите "Add/Remove Snap-in". Откроется пустое окно Add/Remove Snap-in. Щелкните кнопку "Add", появится окно "Add Standalone Snap-in" со списком доступных компонентов.
Выберите "Active Directory Users and Computers". Щелкните "OK" и можно начинать настраивать Active Directory. Вы можете сохранить эту консоль под каким-нибудь именем, и она автоматически добавится к элементу "Administrative Tools".
Средства администрирования
Они включают в себя утилиты Менеджер терминальных лицензий, Создатель клиентов, Конфигуратор клиента, Менеджер терминального сервера.
SSL Relay
При установке NFuse на веб-сервер, расположенный отдельно от MetaFrame, траффик между ними ранее не шифровался. SSL relay использует технологию SSL для шифрования данных между веб-сервером и MetaFrame. По умолчанию эта служба использует порт 443 и требует установки на веб-сервере правильного сертификата.
Стоимость технологии тонкого клиента
Основным преимуществом технологии тонкого клиента является снижение общей стоимости владения (TCO). Это легче представить, если разбить стоимость на два компонента - стоимость аппаратного обспечения и стоимость программного обеспечения. Расходы на прогрммное обеспечение также включают в себя расходы на поддержку, обучение, решение проблем. Расходы на ПО труднее подсчитать. Целью TCO является получение максимальной отдачи от инвестиций (ROI) с минимальными вложениями.
Так что вы выбираете?
Есть "за" и "против" в обеих моделях. Обе имеют ключевые особенности, которые делают их привлекательными. К счастью, Microsoft и Citrix реализовали преимущества обеих моделей и разработали соответственно Terminal Services и MetaFrame. Являясь комбинацией удаленного доступа и удаленного управления, эти два пакета могут удовлетворить требования удаленных вычислений.
TCP-Based Browsing
Эта функция устраняет необходимость в траффике UDP через межсетевые экраны, позволяя NFuse получать доступ во внутреннюю сеть. Эта функция работает на порту 80 TCP, как обычный траффик HTTP.
TCP/IP
Транспортный протокол TCP/IP - это стек протоколов. Большинство локальных и глобальных сетей используют его для выхода в Интернет. TCP/IP также поддерживает протокол Point-to-Point Protocol (PPP). Единственный случай, когда вы не можете использовать TCP/IP - это прямые асинхронные соединения. Из-за универсальности TCP/IP он является кандидатом номер один для использования, даже если вы не собираетесь подключаться к Интернет.
Текущие тенденции в индустрии
В последние годы наблюдалось увеличение, слияние, перемещение компаний. Эти изменения создали более сложные распределенные сети с огромным числом удаленных пользователей. Появился новый тип компании - виртуальная организация. Быть виртуальной организацией - нелегкое дело. Хорошая связь и быстрый ответ - вот ключ к успеху. Для облегчения управления, компании предоставляют своим виртуальным партнерам переносные компьютеры, службу VPN, голосовую почту, организацию телеконференций, беспроводные устройства. Все эти устройства поддерживаются через Интернет. В дополнение к реконструированию общих коммуникаций, обработки данных и развертыванию приложений, Интернет породил новую деловую парадигму: e-бизнес. E-бизнес может быть разделен на два типа сделок:
Сделки типа "Бизнес-Бизнес" (B2B) присходят между бизнесом и его продавцами.
Сделки типа "Бизнес-Покупатель" (B2C) присходят между бизнесом и его клиентами.
Как виртуальные организации, так и e-бизнес требуют доступа к приложениям для конечных пользователей через Интернет. Поскольку существуют очень много различных типов соединений через Интернет, Вы никогда не можете знать, насколько быстро кто-то сможет получить доступ к вашему сайту. В одном Вы можете быть уверены - пользователи Интернета никогда не достигнут той же скорости доступа или надежности, которую Вы имеете в свой локальной сети. Скорость, или, скорее, производительность, является самой важной вещью, которую Вы можете предоставить вашим пользователям Интернета. Клиент не будет загружать большое приложение, забивая траффик. Клиент платит не за само приложение, фактически он оплачивает ваш продукт или вашу услугу. Но приложения создаются не в Интернете. Они создаются командой программистов в фирме разработки программного обеспечения, где каждый программист имеет с сервером, на котором находится приложение, связь со скоростью 10Мбит и выше. Это управляемая среда, с управляемой пропускной способностью и доступностью. Когда приложение проверено, оно перенесится в Интернет в компилированном виде и запускается с удаленной машины.
Одно из преимуществ от использования протокола ICA для доступа к приложению состоит в том, что почти все самые последние браузеры поддерживают ICA. Вашим клиентам и продавцам ничего не нужно устанавливать на своей машине для доступа к вашему приложению, которое вы публикуете в WWW с помощью Citrix. Microsoft выпустила собственного клиента Интернет в июне 2000 г. для публикации приложений. Лично я предпочитаю для Интернет клиента Citrix, потому что он более простой, содержит некоторые пользовательские утилиты, и доказал свою эффективность.
Но перед окончательным выбором Вы должны проверить версию Microsoft. Беспроводнные устройства обеспечивают даже большее преимущества. Некоторые, подобно Palm Pilot, не понимают HTML, и это правильно. Вы можете себе представить целую веб-страницу Microsoft на трехдюймовом экране? Вам понадобилась бы лупа и лекарство от мигрени, чтобы ее прочесть. Таким образом, вам не нужен целый рабочий стол на экране беспроводного устройства; Вы хотите ограничиться лишь интерфейсом приложения. Кроме того, беспроводные устройства весьма ненадежны и часто страдают большим временем ожидания ответа, которое может не учитывать ваше приложение. Фактически, для радиоустройств, которым требуется доступ в вашу сеть, вы хотели бы использовать тонкого клиента. Именно здесь раскрываются преимущества MetaFrame и Terminal Services. Citrix MetaFrame снабжает беспроводные устройства тонкими клиентами. Microsoft Terminal Services в Windows 2000 поддерживают тонкого клиента Windows CE. Корпорации внедряют тонких клиентов по многим причинам, включая сокращение стоимости оборудования и централизованного администрирования. Некоторые расширяют свои услуги конечным пользователям. Теперь многие исследуют e-бизнес и использование беспроводных устройств в виртуальных организациях.
| <<< |
Теневой регистр
Сегодня большинство приложений при установке добавляют значения в ветвь реестра HKEY_CURRENT_USER. Как говорилось ранее, перевод системы в режим инсталляции либо с командной строки, либо через Add/Remove Programs, указывает системе следить за изменениями файлов INI и реестра. Эти изменения сохраняются в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install, а INI файлы, устанавливаемые в в каталоги windows или windows\system
записываются в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Compatibility\IniFiles. Для понимания разных букв дисков и каталогов, упоминаемых в следующих разделах, мы будем использовать следующие определения:
<HomeDrive> (Домашний драйв)
Используется для обозначения буквы диска, указанного в профиле объекта User в компоненте
Active Directory Users and Computers
<HomeShare>
Используется для обозначения UNC, назначенному Домашнему диску.
<RootDrive> Используется для обозначения буквы драйва, который заменяется на <HomeDrive> и <HomeShare>.
<HomeSpace>
Общий термин, используемый для обозначения места размещения пользовательских файлов и установок.
При регистрации в системе нового пользовтеля, система проверяет его каталоги windows и windows\system
в поиске файлов INI, записанных в ...\Compatibility\IniFiles и копирует эти файлы, если они не существуют или имеются более свежие копии, из системного каталога сервера в пользовательский <HomeShare>. Для каждого пользователя система автоматически создает отдельный <HomeShare> и каталоги \windows и \windows\system
для хранения файлов INI, DLL и прочих файлов, нужных приложению. Если в системном каталоге \winnt существуют более свежие копии, старые переименовываются с расширением .CTX, а новые копируются в полдьзовательские \windows и \windows\system.
При запуске проиложения оно может обращаться к ключам реестра, которые не существуют в пользовательском контексте HKEY_CURRENT_USER. В этом случае система проверяет HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install, и если там есть нужный ключ, он копируется в правильное место в ветви HKEY_CURRENT_USER. Если приложение использует вызов API GetPrivateProfileString() для доступа к INI-файлу, который не существует в пользовательском каталоге \windows, то система будет искать его в
%systemroot%. Если файл найден, он копируется в <HomeShare> пользователя в каталог \Windows.
Теневые сеансы
ICA позволяет теневые сеансы типа один к одному, один ко многим, многие к одному. Это может использоваться для обучения персонала. Теневые сеансы управляются с помощью панели теневых сеансов (Shadow taskbar). Здесь очень важно уделить внимание вопросам безопасности. Уделите внимание следующим аспектам:
Для теневых сеансов требуется такой же или более высокий видеорежим. Это относится не только к глубине цвета, но и к разрешению экрана. Пользователю выдается запрос на подтверждение теневого сеанса, если только вы не настроили не спрашивать разрешения пользователя. В отличие от RDP, теневые сеансы могут осуществляться на разных серверах Оба сеанса должны использовать одного и того же клиента (либо ICA, либо RDP) Нельзя наблюдать за пользователем консоли, но тот может следить за другими. Нельзя следить за сеансами опубликованных приложений
Теневые сеансы, пожалуй, являются самым лучшим когда-бы то ни было изобретенным средством поддержки пользователей. Когда пользователь звонит со своей проблемой, служащий службы поддержки может просто инициировать теневой сеанс и наблюдать, какие действия выполняет пользователь. Далее он может дать пользователю инструкции или взять на себя контроль над его машиной и показать, что надо делать или изменить какие-то установки.
Теневые сеансы надо настроить до ввода в эксплуатацию. По умолчанию соединение ICA настроено на наследование настроек пользователя, а настройки пользователя по умолчанию позволяют теневые сеансы, интерактивное вмешательство и уведомление. Интерактивное вмешательство означает, что можно не только наблюдать за чужим сеансом, но и взаимодействовать с его мышью и клавиатурой. Уведомление означает, что пользователь получит сообщение:
Пользователь может принять или отклонить установление теневого сеанса. Если уведомление отключено, пользователь не будет знать, что за ним кто-то наблюдает, если не считать морганий экрана.
Для установки теневого сеанса необходимо самому зарегистрироваться, а затем запустить панель Shadow. При этом открывается диалог:
После щелчка на OK открывается панель с кнопками сеансов:
С помощью этих кнопок вы можете переключаться между сеансами.
Теневые сеансы могут представлять угрозу безопасности и конфиденциальности. Очень важно правильно для них настроить политику безопасности. По умолчанию инициирование теневых сеансов разрешено только для групп системы и локальных администраторов. Как уже указывалось, удаление группы администраторов домена из группы локальных администраторов позволяет ограничить доступ к теневым сеансам. Можно создать локлаьную группу Shadowing и дать ей права установления теневых сеансов, а затем добавить в эту группу индивидуальных пользователей.
Для изменения привилегий теневых сеансов откройте Citrix Connection Configuration из группы MetaFrame Tools. Выберите ICA-tcp connection и из меню Security выберите Permissions. Щелкните кнопку Advanced для вывода установок привилегий. В этом диалоге укажите, какие группы и польователи имеют право установления теневых сеансов. Выберите группу, щелкните View/Edit для просмотра индивидуальных установок. Для включения привилегии теневых сеансов, включите флажок Allow Remote Control.
Terminal Services Advanced Client
Microsoft в настоящее время работает над Расширенным Клиентом (Terminal Services Advanced Client - TSAC). Это следующее поколение терминального клиента, которое заменит существующих клиентов. TSAC поддерживает все функции обычного клиента, плюс позволяет запускать терминального клиента в окне веб-браузера. Теперь пользователи могут подключаться к терминальному серверу и запускать приложения прямо через Интернет, просто указав корректный URL. Ранее это было доступно только в Citrix MetaFrame. Microsoft будет продолжать поддерживать старых клиентов, но не добавляя в них новые функции. Все будущие обновления клиентов будут основаны на переходе на TSAC. Однако, TSAC является 32-битным продуктом, т.е. не будет работать в Windows for Workgroups.
Client Connection Manager
Client Connection Manager используется для настройки всех ваших соединений. Вы можете сохранить соединения для последующенго использования. Client Connection Manager позволяет создавать файлы .CNS для автоматической установки.
Начнем с создания нового соединения.
Выберите "New Connection" в меню "File" Менеджера Соединений. Запустится Мастер устанвки. Сначала вы должны ввести имя сервера или его IP-адрес. Вы можете также запустить обзор сети в поиске сервера. Вы можете ввести учетную информацию пользователя. Если вы заполнили ее здесь, она не будет запрошена при соединении. Однако, учтите возможные проблемы с безопасностью.
Укажите размер экрана. Он зависит от вашего текущего сеанса Windows.
Укажите, надо ли использовать сжатие данных и кеширование иконок. Обе опции позволяют повысить эффективность соединения.
Теперь вы можете выбрать программу, которую следует запускать при каждом входе. Это полезно, когда ползователь запускает только одну программу. Выберите иконку для своего соединения. После этого процесс создания нового соединения закончится.
После создания нового соединения вы можете вернуться и внести изменения в его свойства. Для этого воспользуйтесь в меню "File" опцией "Properties"
Terminal Services Client
Клиент - это упрощенное приложение для связи с сервером. В нем немного настраиваемых параметров. Вы только выбираете, куда подключиться, размер экрана, выбор компрессии данных и кеширования иконок. Вот четыре параметра, которые вы можете изменять. Это приложение служит для простого соединения с сервером.
Terminal Services Client Creator
Эта утилита создает набор дискетт, используемых для установки программного обеспечения клиента.
Terminal Services Connection Configuration (TSCC)
С этой утилитой администраторы должны ознакомиться в первую очередь. С помощью TSCC администратор создает типы соединений, меняет поддерживаемые протоколы, устанавливает уровень шифрования, устанавливает уровень защиты серверов на уровне соединения. TSCC также отвечает за то, где установлены свойства удаленного управления. В настоящий момент Terminal Services поддерживают протоколы RDP и ICA.
Terminal Services Manager (TSM). Используется для управления пользователями, сеансами и процессами. С помощью TSM администратор может инициировать "теневую сессию", проверить количество текущих лицензий, проверить процессы отдельных пользователей.
Terminal Services Licensing . Мы уже обсуждали этот инструмент. В основном, он используется для управления серверами лицензий.
Application Security Registration (ASR)
Утилита AppSec для Windows 2000 доступна в Windows 2000 Server Resource Kit. С ее помощью администратор может ограничивать выполнение приложений на основе списка ASR. Любая попытка запуска приложения в ASR не-администратором, вызовет ошибку. Приложения должны находиться на локальном диске. Приложения, находящиеся на сетевых дисках, недоступны при использовании AppSec.
Кроме этих, существуют еще два инструмента, имеющиеся в составе Windows 2000, но которые получают некоторые дополнительные опции после установки Terminal Services.
Terminal Services Licensing
Эта утилита позволяет администратору устанавливать клиентские лицензии, выдавать лицензии клиентам, вести списки лицензий. С ее помощью вы можете:
Активировать сервер лицензий
Получить лицензии
Просмотреть лицензии, как выданные, так и свободные
Тестирование приложений
Все приложения перед вводом в эксплуатацию должны быть тщательно проверены. Для этого:
Создайте обычного пользователя
Зарегистрируйтесь под этим пользователем и выполните каждую из задач, которые этот пользователь решает в течении деня.
Проверьте открытие, редактирование, печать, сохранение файлов Обеспечьте проверку приложения реальными пользователями во всех режимах.
Проверьте даже неиспользуемые процедуры - вдруг они понадобятся в будущем.
Если приложение не работает под обычным пользователем, попробуйте запустить его под администратором. Возможно, это связано с правами доступа. Эти проблемы можно обнаружить мониторингом доступа к реестру и к файлам. Воспользуйтесь такими утилитами, как NT File Monitor и NT Registry Monitor, которые бесплатно доступны на сайте .
Вы можете обнаружить, что приложение имеет проблемы, например, интенсивное использование CPU, утечка памяти, некорректный выход. Создание скриптов совместимости приложений (Application Compatibility Scripts) для настройки окружения позволяет контролировать такие приложения. Citrix Resource Management Services можно настроить для уведомления о том, что превышен заданный порог использования CPU. Часто используется практика ночной перезагрузки сервера для удаления паразитных процессов и утечек памяти. Вы можете использовать Планировщик Задач для запуска следующего скрипта каждую ночь:
@ECHO off rem необходимы программы sleep.exe и shutdown.exe из Windows 2000 Resource Kit. CHANGE LOGON /DISABLE MSG * Сервер закончит работу через 10 минут. Сохраните работу и выйдите из системы. SLEEP 300 MSG * Сервер закончит работу через 5 минут. Сохраните работу и выйдите из системы. Rem Ждем 5 минут SLEEP 300 FOR /F "tokens=1,3,4 delims==" %%i IN ('quser') DO IF "%%k"=="active" LOGOFF %%j FOR /F "tokens=1,2,3 delims==" %%i IN ('quser') DO IF "%%k" == "disc" RESET SESSION %j NET STOP SPOOLER DEL /Q /F %systemroot%\system32\spool\printers\ NET START SPOOLER SHUTDOWN /L /R /T:1 /C :end
Вы можете на сервере обратиться к архивам и списку рассылки за нужной информацией.
Чтобы убедиться, что все работает, вы можете выполнить следующие шаги:
При участии пользователей разработайте скрипт, который покрывает все повседневные задачи, включая создание отчетов, печать, частые запуски приложений типа Crystal Reports или Microsoft Excel.
Заставьте пользователя записать время, требуемое для выполнение каждой задачи и сравните его с времением выполнения скрипта на обычной рабочей станции.
Для обеспечения правильных результатов определите максимальное количество клиентов, зарегистрированных в системе и активных.
Во время тестирования используйте Performance Monitor для анализа использования процессора и памяти. В объекте Terminal Services Session Performance выберите показатели % Processor Time, Total Bytes и Working Set, затем подсветите все сеансы ICA, которые щапускают приложение. Добавьте эти показатели в график и пусть пользователи начнут работу.
Добавьте еще пару показателей - из объекта Memory Object выберите Available Mbytes, а из Processor Object добавьте % Processor Time.
Наблюдайте, как пользователи регистрируются, используют приложения, выходят, наблюдайте использование памяти каждым сеансом и двумя системными показателями.
Когда показатель % Processor Time достигнет 60%, считайте это за максимум. (Хотя Microsoft устанавливает максимум 80%, мы делаем допуск для отказоустойчивости).
Считайте память полностью использованной, когда остается свободной 20-25%. Если использование памяти достигло 100%, выясните, какой сеанс забрал больше памяти, чем требуется. Свяжитесь с пользователем и проясните ситуацию. Если это происходит часто, возможно, вам следует в сервер добавить больше памяти.
Типы установки Terminal Services
Есть два типа установки Terminal Services в 2000. Мы уже коснулись первого - сервера приложений. Этот тип сервера обеспечивает многопользовательскую среду и разрешает одновременный доступ к стандартными приложениям Windows. Если на сервере Windows 2000 установлена терминальная служба, она требует для каждого пользователя наличия клиентской лицензии (Client Access License -CAL). Эти лицензии (CAL) являются дполнениями к стандартному лицензированию. Для каждого пользователя, подключающегося к терминальной службе, требуется отдельная лицензия.
Второй тип установки терминальных служб - это режим удаленного администрирования. В этом режиме удаленные пользователи также получают доступ к консоли, но лицензирования доступа не производится. Этот режим позволяет удаленно администриаровать сервер Windows 2000 из одной точки. Любой пользователь посредством клиента RDP может получить доступ к серверу, поэтому необходимо предпринять определенные меры безопасности. В этом режиме допускается максимум два одновременных пользователя.
Требования к клиенту
Служба Терминалов спроектирована так, чтобы снизить требования к мощности клиента. В следующей таблице перечислены требования, предъявляемые к каждой операционной системе.
| Операционная система | Процессор | Память |
| Windows 3.11 | 386 | 16 Mb |
| Windows 95 | 386 | 16 Mb |
| Windows 98 | 486 | 16 Mb |
| Windows NT 4.0 | 486 | 16 Mb |
| Windows 2000 | Pentium | 32 Mb |
| Windows CE | Любое устройство Windows CE | Зависит от устройства |
Это минимальные требования. Для увеличения производительности вам следует расширить эти требования.
Ключом повышению производительности является увеличение скорости между клиентом и сервером. Вы должны сделать связь как можно эффективнее.
Один из методов увеличения производительности состоит во включении компрессии данных. Это позволяет передавать в единицу времени больше данных. Она особенно полезна для каналов с небольшой пропускной способностью. Повысить производительность также позволяет кеширование иконок.
Microsoft выпустила Terminal Services Advanced Client (TSAC) как ответ на многочисленные запросы пользователей, требовавших возможность запукать 32-битные приложения из браузера. TSAC встраивает эту функциональность в Microsoft Internet Explorer через ActiveX. Этот компонент ActiveX и несколько примерных веб-страниц можно взять с сайта . Опробовать клиента в он-лайне вы можете по адресу .
Требования к межсетевым экранам
Правильный внешний адес IP должен быть назначен на внутренний сервер Citrix.
Порт 1494 для TCP/IP должен быть открыт.
Должны быть открыты порты 1025 и выше для исходящих соединений.
На сервере Citrix запустите утилиту ALTADDR. Каждый сервер Citrix должен иметь соответствующий адрес на firewall. Это делается этой командой на каждом сервере, который должен быть отображен на альтернативный адрес. Например:
ALTADDR /SET InternalIPAddress ExternalIPAddress
Пусть внутренний адрес Citrix будет 10.3.2.1, а firewall преобразует этот адрес в 208.140.11.10. Тогда на сервере Citrix вы должны дать команду:
ALTADDR /SET 10.3.2.1 208.140.11.10
Вам также следует изменить файл
Template.ICA на веб-сервере следующим образом:
Address=[Nfuse_ipv4_AddressAlternate]
Последовательность соединения следующая:
Браузер клиента подключается к серверу IIS на порт 80, где при необходимости запрашивает имя и пароль. Расширение NFuse для IIS подключается к службе NFuse на сервере Citrix, используя порт 81 (по умолчанию 80, но вы можете указать другой).
Сервер Citrix (Server Farm) возвращает от ICA Master Browser всю информацию о приложениях для этого конкретного пользователя.
Сервер IIS вставляет эту информацию в шаблон файла ICA, создавая одновременно ссылки на веб-интерфейсе клиента для упорядочивания файлов ICA.
При щелчке на пиктограмме в веб-браузере клиент загружает соответствующий файл ICA и запускает локальный ICA-клиент.
ICA-клиент используя данную информацию открывает соединение с сервером Citrix, обслуживающим указанное приложение, используя порт по умолчанию 1494 (или иной, указанный в шаблоне ICA-файла).
Если сервер Citrix защищен межсетевым экраном, вам необходимо открыть порт 1494. Превосходные документы находятся на .
Вы можете назначить порты коммункации между веб-сервером и сервером MetaFrame Server (например, 81, 82, 83 и т.д.), но ICA использует порт 1494 и 1604 UDP для коммуникации между клиентом ICA и сервером Citrix. (При использовании NFuse UDP не требуется).
Для проверки правильности настройки межсетевого экрана используйте стандартного клиента и подключитесь к серверу, указав вместо имени его внешний IP-адрес. Если вы смогли подключиться, то порты на экране настроены правильно.
При использовании NFuse информация о соединении обрабатывается на сервере, а не на клиенте, и широковещательные пакеты UDP не требуются. При подключении пользователя через страницу NFuse вам следует сконфигурировать этот сервис на использование порта 80. Когда клиент выбирает приложение, файл ICA создается на лету. Этот файл содержит IP-адрес наименее загруженного сервера и не требует разрешения имен, поэтому отпадает необходимости в использовании порта 1604. Когда пользователь получает ICA-файл, веб-сервер заканчивает свою часть работы и больше не нужен для соединения.
Если вы изменили порт ICA на сервере командой
ICAport, необходимо изменить файл
Template.ICA, добавив в него строку:
ICAPortNumber=номер порта
Для входящих соединений должен быть открыт порт TCP 1494, а для исходящих должны быть открыты порты с 1025 по 65535.
Требования к пропускной способности
Протокол ICA требует в среднем 20 KB пропускной способности. Однако, приложения, активно использующие графику или часто обновляющие экран, могут требовать гораздо больше.
Я провел тестирование по Dual ISDN (каналы B 4-64Kbps) и дозвоне непосредственно на T1-PRI в нашей сети и выяснил, что обычные терминальные приложения и даже Microsoft Word и Excel использовали указанное среднее значение загрузки, изредка поднимаясь до 60-70%-ного использования двух каналов B (128Kbps). Однако, запуск Internet Explorer и просмотр сайта Citrix вместе со скроллингом окна создал почти постоянную загрузку трех каналов B (192Kbps) на уровне 75%.
Для сравнения, я решил подключиться к тому же серверу через RDP5. При работе с терминальными приложениями большой разницы я не заметил. Когда я запустил для проверки Internet Explorer для просмотра сайта Citrix и скроллинга страниц, я заметил, что RDP5 занял все 4 канала B (256 Kbps), подняв загрузку до 100%, мне постоянно приходилось ждать обновления экрана.
Требования к сети
Вы можете оказаться в ситуации, когда сетевой инфраструктуры вообще не существует. Вам нужно решить много вопросов при проектировании новой инфораструктуры. Мы уже обсудили проблемы полосы пропускания и интеграции внешних приложений, и все же вернемся к важнейшим концепциям.
Пусть вашей целью является:
Предоставление необходимой полосы пропускания клиентам локальной сети Предоставление клиентам доступа в Интернет через терминальные серверы Предоставление доступа к SQL-серверу через терминальные серверы Предоставление доступа к фаловым серверам и серверам печати
Допустим, что вы одновременно поддерживаете 5000 пользователей в локальной сети с периодическим выходом в Интернет.
Трехзвенная архитектура
Трехзвенная архитектура используется в случаях, когда на рабочих станциях недостаточно вычислительной мощности, необходимой для выполнения приложения. В трехзвенной архитектуре также присутствует сервер базы данных. Большинство процессов, которые обычно выполняются на рабочей станции, переносятся на сервер приложений, а клиент отвечает лишь за обновления экрана, нажатия клавиш и прочие визуальные изменения. Это значительно уменьшает нагрузку на клиентские машины и позволяет старым машинам использовать новые приложения.
ЗАМЕЧАНИЕ
Windows 2000 с Terminal Services и Citrix MetaFrame могут рассматриваться в контексте как двухзвенных, так и трехзвенных вычислений, в зависимости от конфигурации сети. Хотя в используемых методах есть различия, как Terminal Services, так и MetaFrame используют клиентский ПК и сервер приложений.
Учет роста
Ожидайте удвоение мощности сервера. Рост и изменение использования сервера MetaFrame может случится в любое время. Вот типичная ситуация:
Одно из подразделений компании нуждается в сервере для удаленного доступа к некоторому приложению. Они начали его испольовать и задумали установить еще один сервер MetaFrame для другого приложения.
Другое подразделение узнает о существовании сервера MetaFrame и тоже решает использовать его для своего приложения. Вскоре стало нехватать лицензий или дисковой памятиЮ или процессора, поэтому вы добавили еще один сервер. Вскоре вы получили несколько серверов с разными приложениями. Потом кто-то решил объединить серверы в Server Farm. Затем еще кто-то обнаружил, что можно спользовать серверы для предоставления доступа к приложениям через Интернет. Это привело к созданию DMZ для обслуживания пользователей Web. Наконец, они установили VideoFrame для лучшей интеграции видео с Web.
Удаленное управление
ПО удаленного управления используется уже несколько лет. Начиная с небольших пакетов, типа PCAnywhere, и заканчивая большими приложениями масштаба предприятия, как SMS. Оно дает пользователям или администратору возможность управлять удаленной машиной и выполнять разнообразные функции. При использовании удаленного управления, от удаленной машины на локальную машину посылаются коды нажатых клавиш. Локальная машина посылает на удаленную изменения экрана. Обработка и передача файлов, как правило, делаются на локальной машине. На рисунке 1.4 показана схема сеанса удаленного управления:
Удаленный узел
Удаленный ПК, оборудованный модемом или сетевой платой, выполняет соединение через глобальную сеть к локальному серверу. Этот удаленный ПК теперь рассматривается как локальный узел сети, способный получать доступ к сетевым ресурсам, например, к другим ПК. Сервер отвечает за предоставление всей сетевой информации, за передачу файлов, и даже за некоторые приложения на удаленном узле.
Удаленный узел отвечает за обработку, выполнение, изменение информации, с которой он работает. Все это выполняется с той скоростью, с которой может работать клиент.
Из-за этих ограничений вычисления на удаленном узле предъявляют высокие требования к пропускной способности канала связи. Это следует учитывать при проектировании. Как видно на рисунке, между клиентом на локальном ПК и клиентом удаленного узла есть небольшое различие. Сервер будет одинаково обрабатывать запросы от любой машины. Но если локальный клиент запрашивает 2Мб данных, сервер передаст их по локальной сети. Для удаленного клиента, по каналу 56К эта передача займет около 6 минут. Кроме того, после внесения изменений клиент должен отправить эти 2Мб обратно.
Улучшение производительности терминальных служб
Как уже говорилось в , существует несколько способов повышения производительности терминальных служб.
Улучшение реакции
Технология SpeedScreen увеличивает производительность приложений на низкоскоростных соединениях. SpeedScreen обеспечивает немедленную реакцию на события мыши и локальное эхо вводимого текста. Пока событие мыши обрабатывается, ее курсор меняет форму. Локальное эхо текста отображает вводимые симолы, не дожидаясь получения обновления экрана. Эта функция должна быть тщательно протестирована и должна применяться выборочно, поскольку работает только с программами, использующих стандартные функции API Windows для вывода текста.
Улучшенная производительность
Пользователи могут почувствовать значительное улучшение производительности сервера вследствие постоянного кеширования, использования пакетов и размера фрайма. Кеширование заключается в записи данных во временное хранилище (локальная временная память или часть жесткого диска). Тогда процессор может быстрее пересылать данные пользователю.
