Настройка VPN
Установить программное обеспечение VPN на сервере Windows 2000 очень просто. Фактически вы уже сделали 75% работы. При добавлении службы удаленного доступа, Windows 2000 автоматически добавляет поддержку пяти соединений L2TP и пяти соединений PPP. Если вы еще не включили поддержку RAS, вам следует вернуться к разделу .
В первую очередь убедитесь, что установлены порты. Это можно проверить через консоль RRAS. Нажмите кнопку "Start", выберите Programs, Administrative Tools, Routing and Remote Access. После появления консоли RRAS, вы должны видето свой сервер в левой панели. Дважды щелкните на нем для вызова подробностей. Щелкните правой кнопкой мыши на список "Ports", выберите "Properties"
Здесь вы можете настроить порты и протоколы в соотетствии с вашими требованиями. Удалите неиспользуемые порты. Для настройки отдельного порта для использования с VPN, посветите его и щелкните кнопку Configure. Убедитесь, что установлен флажок Remote Access connections (incoming calls only), и для телефонного номера устройства укажите IP-адрес этого сервера. Клиенты будут подключаться к этому адресу IP используя клиентское программное обеспечение VPN.
Замечание
Публичные адреса IP используются только при соединении с сервером из-за границ вашей сети. Обычно для этого используют технологию сетевой трансляции адресов (NAT), чтобы ваш внутренний IP не был виден во внешнем мире.
В этом окне вы также можете указать максимальное количество портов, доступное для этой службы. Оно основано на максимальном количестве пользователей, поддерживаемое сервером через VPN. Рассчитывая это число, учитывайте задержки в Интернет, другие соединения с вашим RAS-сервером, тип соединения клиента с провайдером (модем, ISDN и т.п.). Учтите, что из-за сложности пакета VPN, производительность может упасть на 10-50 процентов! В основном это вызывается шифрацией/дешифрацией траффика на обоих концах. На линиях T1 это незаметно, но для модемных пользователей падение скорости на 50% неприемлимо. Поэтому всегда старайтесь делать так, чтобы пользователи звонили непосредственно на сервер RAS.
PPTP
При установке RAS автоматически включаются пять портов PPTP. Они используются для старых клиентов,которые не поддерживают L2TP. Основными достоинствами PPTP являются его дешевизна и легкость в реализации.
IPSec
IPSec используется для повышения защищенности траффика VPN. Он использует инфраструктуру открытого и закрытого ключей для шифрования и расшифровки траффика, обспечивая защищенность соединения от точки до точки. Существуют два типа тунеллирования IPSec. Первым является комбинация L2TP/IPSec, а вторым - чистое тунеллирование IPSec. Тунеллирование IPSec не рекомендуется для VPN, поскольку он не предусматривает некоторых основных служб, необходимых для удаленных пользователей. IPSec включается в Windows 2000 через политики. Некоторые из них предопределены, но вы можете создавать свои собственные политики. Для этого используйте закладку Local Computer Policy в консоли управления. Политики по умолчанию таковы:
Secure server. Машина, выполняющая роль сервера безопасности, всегда пытается согласовать безопасность с клиентом. Если согласование установить невозможно, сервер прекращает отвечать клиенту. Client. Политика клиента заставляет машину запрашивать сервер для установки защищенного соединения. Если сервер не имеет политики сервера, шифрования траффика производиться не будет. Server. Машина с политикой сервера будет пытаться установить защищенное соединение, а если не получится, что траффик будет нешифрованным.
IPSec имеет определенные ограничения, поэтому он всегда должен использоваться в комбинации с L2TP. Основной недостаток IPSec состоит в том, что он не предусматривает аутентификации пользователя. Вместо этого аутентификация делается на базе машин. Это означает отстутствие способа определения того, кто использует машину. Другое ограничение состоит в отстутсвии поддержки NAT и нескольких протоколов.
Недостатки удаленного управления
Программы удаленного управления имеют ряд ограничений. Большинство пакетов ограничены разрешением экрана, которое они могут воспроизвести. Клиенты Terminal Services поддерживают максимум 256 цветов. Кроме того, программы, использующие графику, сильно загружают каналы связи и могут свести на нет все преимущества удаленного управления. Citrix MetaFrame недавно выпустила Feature Release 1, дополнительный пакет для MetaFrame 1.8, который позволяет пользователям использовать 24-битный цвет.
Клиент Citrix может масштабировать графику сессии в зависимости от пропускной способности канала связи. Чем больше разрешение, тем больше загружается канал. Из-за этого некоторые программы, например, системы автоматизированного проектирования, не подходят для использования с Terminal Services или MetaFrame. Однако, приложения Windows Office - такие как Word и Excel, - идеально подходят для сеансов удаленного доступа.
Feature Release 1 доступен для обладателей Subscription Advantage. Он включает Service Pack 2 for MetaFrame 1.8, а также набор новых возможностей, таких как поддержка нескольких мониторов, большая глубина цвета, SecureICA.
Еще одна потенциальная опасность удаленного управления состоит в том, что возникает опасность несанкционированного дступа в сеть. Если некто за пределеами сети получает доступ к локальному ПК, он может выполнять на нем любые команды, как если бы он находился в локальной сети. Поэтому многие администраторы предпочитают не оставлять постоянно включенными компьютеры с установленными на них программами удаленного доступа, и тщательно настраивают механизмы аутентификации и ограничения прав пользователей.
Последний недостаток удаленного управления состоит в том, что скорость передачи файлов между локальным и удаленным ПК ограничена скоростью соединения. Большинство пользователей используют обычную телефонную сеть, позволяющую скорость максимум 56Кbps. Хотя MetaFrame неплохо работает и на модемном соединении 28.8 Kbps, рекомендуются высокоскоростные соединения типа ADSL или кабельные модемы.
Недостатки вычисления на удаленном узле
Как было сказано выше, скорость является ключевым аспектом, поскольку передается намного больше данных, чем при удаленном управлении. Частично проблему можно решить использованием кабельных модемов и ADSL, но даже в этом случае скорость будет составлять лишь 1/5 от скорости в ЛВС, если только пользователь не платит ежемесячно $1,000 за персональный канал T1 );
Поскольку удаленный доступ требует, чтобы удаленный ПК мог осуществлять обработку информации, требования к его аппаратному обеспечению также могут стать важным фактором. Это может означать частую замену ПК, модернизацию программного обеспечения. Удаленный ПК также более уязвим для вирусных атак, чем при удаленном управлении. Еще один недостаток удаленного доступа - это выдача клиенту лицензии. Если клиенту запрещено индивидуально устанавливать на своем ПК копию программы, слежение за лицензиями становится еще одной головной болью системных администраторов.
И последнее замечание по попводу удаленного доступа касается совместимости аппаратных платформ. Заранее не зная конфигурации ПК клиента, часто приходится строго ограничивать список поддерживаемых конфигураций. Это часто ограничивает пользователя.
Netscape
Для Netscape измените следующее:
var plugRefLoc =
Измените эту строку так, чтобы она указывала на каталог файлов плагина. Например:
<html>
<a href="wfplug32.exe">Click here to download the Netscape Plug-in for 32-bit Windows</a>
<a href="wfplug16.exe">Click here to download the Netscape Plug-in for 16bit Windows</a>
<html>
Также установите в plugRefLoc URL предыдущего файла.
NFuse
NFuse - это технология портала приложений. Она позволяет интегрировать интерактивные приложения в стандартном окне веб-браузера. NFuse совмещает возможности интеграции с браузером технологии ALE и преимущества Программного Окружения (Program Neighborhood). Это дает возможность предоставлять прерсонализированные приложения пользователям через Интернет и разрешать компаниям или специализированным провайдерам приложений (ASP) создавать настроенную среду для конкретного пользователя.
Ключевые особенности NFuse:
Web-интерфейс к Program Neighborhood для упрощения доступа к приложениям.
Динамически настраиваемый интерфейс пользователя.
Централизованное управление развертыванием приложений через скрипты сервера и файлы ICA.
Настраиваемое разрешение имен в IP-адреса, устраняющее необходимость в ICA Browser и UDP.
COM-совместимые объекты Java доступны из скриптов веб-сервера, например, Java Server Pages и ASP.
Web Site Wizard упрощает создание веб-сайтов, использующих NFuse.
NFuse совместим с большинством средств разработки веб-сайтов, например, HotMetal, Microsoft FrontPage, Cold Fusion, Macromedia DreamWeaver. Страницы NFuse можно расширить использованием COM-объектов и Java. Однако поддержка Java не является необходимой. Но если вы решили использовать ICA Java Client, то браузер должен иметь JVM, совместимую с ICA Java Client.
NFuse бесплатно доступен на сайте Citrix . Там же находится и документация.
содержит улучшенную службу XML,
Feature Release 1 содержит улучшенную службу XML, которая используется для коммуникации между веб-сервером и MetaFrame. Это новая служба использует протокол TCP вместо UDP, что облегчает соединения через защитные экраны (firewalls). По умолчанию служба XML использует порт 80.
Новые приложения
Вам следует тщательно тестировать новые приложения перед вводом их в эксплуатацию. Нельзя инсталлировать новые приложения на живой работающий сервер без проверки. Используйте программы типа WinRunner ( или WinBatch. Эти программы позволяют создавать скрипты для проверки приложений в автоматизированном режиме и эмулировать от одного до 1000 одновременных пользователей. Используйте их для проверки всех аспектов приложения, включая печать, копии экранов, сохранение файлов, отправку почты и т.д.
Обе модели в бизнесе
Компании следует тщательно проанализировать требования к аппаратному обеспечению перед тем, как реализовать одну из моделей. Неверное решение может привести к кошмарам в управлении системой. Вычисления на основе мейнфреймов изначально более дорогие. Распределенные вычисления требуют большего сопоровождения. Мейнфреймы централизуют все приложение. Термин "Распределенные системы" говорит сам за себя.
Следующая таблица поможет вам принять правильное решение.
| Если вам необходимо... | То следует использовать... |
| Многоплатформенная среда для конечных пользователей | Распределенные вычисления. У каждого конечного пользователя есть рабочая станция со своей собственной вычислительной мощностью и операционной системой. Это дает пользователю больше свободы в управлении своей средой. |
| Однородная среда, в которой пользователям дается стандартный интерфейс. | Система с мейнфреймом. Использование терминалов позволяет администраторам предоставлять управляемую, стандартную среду каждому пользователю независимо от местоположения машины. |
| Низкая стоимость на начальной стадии | Распределенные вычисления. Персональные компьютеры стоят гораздо дешевле, чем мейнфрейм. Но учтите, что стоимость последующего сопровождения может превысить полученную экономию. |
| Простое и недорогое расширение | Мейнфрейм. Добавление нового терминала - очень простой процесс по сравнению с установкой и настройкой персонального компьютера. |
| Доступность программного обеспечения для различных бизнес-приложений | Распределенные вычисления. Существует большое разнообразие программ, выпущенных для настольных ПК, и их стоимость часто дешевле аналогичных пакетов для мейнфреймов даже на уровне предприятия. |
| Отказоустойчивость | Мейнфреймы. Типичный мейнфрейм имеет аппаратные средства контроля и устранения ошибок, отстутствующие в большинстве ПК. |
Обновление Windows NT 3.5x RAS
Windows NT 3.51, как и NT 4.0, можно непосредственно обновить до Windows 2000. Как и в NT 4.0, информация о пользователях теоретически также должна мигрировать. Мы оставляем вам верить или не верить Мастеру обновления. Слишком часто у него не получается. Как и в случае с NT 4.0 рекомендуется сначала деинсталлировать RAS, а потом сделать обновление. В противном случае вы можете повредить Active Directory.
Замечание
Хотя Citrix WinFrame основан на технологии NT 3.51, вы не можете напрямую обновить его до Windows 2000. Вам потребуется чистая установка Windows 2000. Хотя, теоретически, вы можете обновить его до NT 4.0 Terminal Server Edition перед обновлением до Windows 2000. Шансы 50/50.
Общая стоимость владения (TCO)
Есть несколько вариантов немедленного снижения стоимости владения. Одним из важнейших преимуществ является устранение необходимости в мощном сервере и поддержка сотрудников в филиалах. Поскольку при подключении через интернет устраняется необходимость физически настраивать каждый компьютер пользователя, это значительно снижает затраты на поддержку пользователей, установку у них приложений. Приложения устанавливаются на центральном сервере, а на клиентских машинах нужен только веб-браузер. Поскольку приложение находится на сервере, значительно упрощается установка обновлений и заплат.
Кроме того, снижаются затраты на оборудование, поскольку модернизация компьютеров становится необязательной. Поскольку основные вычисления поизводятся на сервере, мощность локальной машины не имеет значения. Нужно лишь чтобы локальная машина смогла запустить веб-браузер и могла достаточно эффективно работать в Интернет.
Citrix MetaFrame поддерживает следующие веб-браузеры:
| Операционная система | Браузер |
| Windows 3.1 | Internet Explorer 4.1 Netscape Navigator 4.08 |
| Windows NT | Internet Explorer 4.0 Internet Explorer 5.0 Netscape Navigator 4.01 Netscape Communicator 4.61 |
| Windows 95/98 | Internet Explorer 4.0 Internet Explorer 5.0 Netscape Navigator 4.01 Netscape Communicator 4.61 |
| UNIX | Netscape Navigator 4.01 |
| Linux | Netscape Navigator 4.01 Netscape Communicator 4.61 |
| Mac | Netscape Navigator 4.01 Netscape Communicator 4.61 |
Примером снижения программных издержек являтся повышение удовлетворенности и продуктивности удаленных пользователей, которым больше не нужно беспокоиться об обновлении своих программ. При использовании Citrix обновления делаются на сервере и сразу становятся доступными пользователям. Кроме того, использование технологии тонкого клиента снижает требования к пропускной способности канала связи. Поскольку по сети передаются только обновления экрана, а вся обработка присходит на сервере, значительно уменьшается траффик через Интернет. Централизованное окружение сервера позволяет контролировать доступность приложений на уровне предприятия, предотвращая повреждение пользователями важных файлов.
Использование VPN для предоставления доступа пользователей удаленных офисов в интрасеть также снижает стоимость владения. Большие Server Farms дают большую производительность, чем настольные компьютеры или офисные маломощные серверы. Передав все IT-операции провайдеру приложений (Application Service Provider - ASP), компания может вообще отказаться от департамента информационных технологий. Это дает выигрыш для небольших и средних компаний. Им более не требуется покупать дорогостоящее оборудование для индивидуальных сотрудников.
Обучение
IT-менеджеры должны учитывать расходы на обучение пользователей работе с Terminal Services. Клиенты могут использовать у себя разные операционные системы - Windows 2000, Windows 9x или Windows NT 4.0. Для пользователей Windows 2000 процесс обучения обычно протекает гладко, но не думайте, что оно им не понадобится вообще.
Именно на настройку клиента Win32
Именно на настройку клиента Win32 мы потратили наибольшее количество времени. Этот клиент содержит наибольшее количество опций по сравнению с другими, поэтому любой клиент, не рассмотренный нами, будет содержать рассматриваемые здесь опции.
При подключении к серверу MetaFrame, клиент Win32 предусматривает дополнительные опции, обеспечивающие запуск приложений так, как будто они были запущены с локального рабочего стола. Citrix постоянно обновляет клиентов, поэтому чаще посещайте ее сайт в поиске свежей информации.
ICA-клиент Win32 имеет следующие особенности:
Поддержка видео Поддержка TAPI Программное окружение (Program Neighborhood) Переназначение устройств клиента Поддержка звука Цельные окна (Seamless windows) Префиксы дозвона Шифрование Атоматическое обновление клиента Интеграция с буфером обмена Windows Возможность работы на медленных линиях связи Кеширование и сжатие данных Поддержка мыши с колесиком
Обзор подключения через Интернет
Citrix поддерживает любые типы подключений как через Интернет, так и через локальную сеть. Это включает машины, работающие под управлением Windows, UNIX, Windows Terminal Server, Macintosh. Любой компьютер, способный запустить браузер, совместимый с Citrix, может получить доступ к приложениям через Интернетю
Ограничения клиента Terminal Services
Windows 2000 Terminal Services гораздо более продвинутый продукт, чем Windows NT 4.0 TSE. Он обладает большей функиональностью и гибкостью. Тем не менее, он имеет ряд ограничений. Большинство из них можно обойти, используя Citrix MetaFrame.
Ограничения операционной системы
Microsoft ограничивает клиентов Terminal Services операционными системами Windows. Это ограничение вытекает из соглашения между Microsoft и Citrix. Добавление Citrix MetaFrame к вашему серверу позволит поддерживать значительно большее количество типов клиентов. Помимо Windows-клиентов, Citrix MetaFrame также поддерживает Macintosh, DOS, Java, UNIX, Linux, Sun. Многие компании предпочитают устанавливать только Citrix MetaFrame из-за необходимости поддерживать операционные системы клиентов, не поддерживаемые Microsoft.
Ограничения протокола
Windows Terminal Services поддерживают только TCP/IP и протокол Remote Desktop Protocol (RDP). Новые клиенты используют RDP 5.0, а старые клиенты Terminal Server 4.0 используют RDP 4.0. RDP 5.0 быстрее и обеспечивает более защащенные соединения. Он обратно совместим с RDP 4.0, однако, новые клиенты не смогут подключаться к Windows NT 4.0 TSE. Вместе с тем, Citrix MetaFrame поддерживает не только IP, но и IPX/SPX и NetBIOS.
полезный инструмент, когда нужен, но
Dr. Watson - полезный инструмент, когда нужен, но пользователям не требуется видеть отчеты об ошибках в своих сеансах.
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug\Auto"
Значение 0 будет выводить сообщение об ошибке, когда работает Dr. Watson. Значение 1 (по умолчанию) указывает отладчику стартовать при загрузук. Чтобы не давать работать Dr. Watson, удалите подключ AeDebug. Чтобы вренуть Dr. Watson, введите команду drwtsn32 -i.
Окончательная настройка
Одним из важнейших компонентов терминальных служб Windows 2000 являетсяэ протокол RDP. Он работает аналогично протоколу Citrix ICA и обеспечивает передачу данных небольшими пакетами, требуя невысокой пропускной способности - около 20 Kbps. Microsoft включила в версию RDP для Windows 2000 ряд значительных улучшений:
Определение мощности сервера
Первый шаг вашего проекта состоит в определении мощности серверов MetaFrame. Этот процесс называется планированием мощности. Много проектов Citrix MetaFrame начинаются с единственного сервера. Далее, по мере роста числа пользователей, администратору приходится приобретать большее количество лицензий и модернизировать существующий сервер или добавлять большее количество серверов. Учитывая будущий рост, начните с более мощного сервера, чем вам сейчас необходимо, даже если Вы начинаете с единственного сервера.
Мощность сервера зависит от нескольких факторов:
От числа одновременно работающих в нем пользователей От типа приложений.
Эти два фактора будут использоваться для определения необходимых компонентов сервера - памяти, процессоров, устройств хранения. Для определения числа одновременных пользователей Вы сначала должны выяснить, сколько из них вообще будут требовать доступа к серверу.
Определение мощности серверов
Необходимо тщательно проанализировать ваши потребности в удаленных вычислениях и учесть все факторы. Ваши пользователи работают в он-лайне или офф-лайне? Перемещают они большие объемы данных? Будет ли RAS обслуживать как удаленных, так и локальных клиентов? Будет ли использоваться технология VPN? Какой размер будет занимать ваша пользовательская база? Все это следует учитывать при выборе аппаратной спецификации RAS-сервера.
Другим ключевым фактором является тип службы RAS. Для клиентов, подключающихся с использованием службы удаленного доступа к сети (Dial-Up Networking - DUN) необходимо иное аппаратное и программное обеспечение, чем для использующих VPN. Windows 2000 RAS предусматривает подключения типа "точка-точка", "сеть-сеть" (LAN-LAN), "сеть-глобальная сеть" (LAN-WAN).
Определение окружения
Если вы публикуете приложения через Программное окружение или NFuse, задача упрощается. Спрячьте драйвы сервера, убедитесь в доступности принтеров, измените каталоги сохранения файлов по умолчанию, и можете начинать. Если пользователи запускают рабочий стол, то потребуется больше работы. К счастью, вы уже проверили настройки политик и Active Directory в пилотном проекте. Если вы тщательно протестировали пилотную систему, ввод в эксплуатацию сервера будет несложным.
Определение способа отображения приложения
Следующим шагом является определение способа отображения приложения на компьютере клиента. Выбор одного из способов приводит к разным действиям; мы рассмотрим оба случая.
Определите среду продукта
Определите, как вы будете предоставлять приложение пользователям - через Program Neighborhood или через рабочий стол. При использовании рабочего стола определите политики безопасности так, чтобы пользователи имели достаточные права для запуска нужных приложений, но с учетом безопасности окружения.
После того, как ваши приложения заработали без проблем, приступайте к масштабированию сервера. Здесь простое правило - покупайте все самое быстрое, от дисков до процессора. Определите требование к памяти для каждого приложения. Умножьте это число на количество одновременных пользователей, добавьте требования Windows 2000 и еще немного для учета простаивающих сеансов. Добавьте еще 10% под буферизацию. В крайнем случае, сэкономьте на процессоре, но только не на памяти.
Оптимизация ресурсов
Windows 2000 и Terminal Services автоматически не настраиваются на оптимальную конфигурацию в многопользовательской среде. Windows 2000 требует от нас настройки использования памяти и поведения приложений. Эта настройка включает в себя изменения реестра и опций приложения.
Все процедуры, политики, вносимые изменения должны быть тщательно задокументированы.
Удалите администратора домена из группы локальных администраторов. Большие компании с большим числом администраторов должны ограничивать административный доступ к терминальным серверам.
Эффективная процедура управления должна включать в себя слдующее:
Предусмотрите механизм тестирования изменений в лабораторных условиях перед вводом в эксплуатацию.
Требуйте официальных санкций на изменения, когда система находится в эксплуатации.
Предусмотрите контроль версий и процедуры резервного копирования и восстановления во время тестирования.
Позвольте всем сторонам, материально заинтересованным в изменениях, оценить влияние этих изменений.
Обеспечьте документирование разработки вашей фермы, включая все предложенные изменения.
При внесении изменений в Citrix Server Farm сервер приходится надолго отключать, что затрагивает множество пользователей. Поэтому необходимо предусмотреть меры для скорейшего восстановления работоспособности сервера. Для этого есть два основных способа: резервное копирование на ленту или создание образа (imaging).
клиента не существует. Единственные
Для OS/ 2 клиента не существует. Единственные клиенты, которые могут работать под OS/2 - это клиенты DOS и Windows 16-бит. При этом возможны следующие способы соединения:
DOS: TCP/IP, IPX, NetBIOS, Async(direct), Async(модем) Win16:TCP/IP, NetBIOS, Async(direct), Async(модем)
Обратите внимание, что ни один из них не поддерживает SPX, и только клиент DOS может работать через IPX. Настройка клиента Metaframe в OS/2 не предназначена для неподготовленного пользователя. Я слышал от многих пользователей сообщения о "синем экране смерти" и других неисправимых ошибках. Форум службы поддержки Citrix является наилучшим ресурсом, и вы должны внимательно его прочитать перед попыткой запуска.
Основные концепции
В этом разделе будут использоваться два важных термина - "толстый" клиент и "тонкий" клиент. Термины "толстый" и "тонкий" относятся к пропускной способности канала до клиента. "Толстый" клиент - это машина или приложение, требующая большой пропускной способности. Обычно эти машины локально выполняют свои приложения или получают их от сервера в модели "клиент-сервер". "Толстых" клиентов легко настраивать, их можно использовать независимо от сети.
Термин "тонкий" клиент относится к специфичному программному продукту, который обеспечивает удаленный ПК программами и информацией на низкоскоростном канале. При использовании ПО удаленного управления между сервером и клиентом передаются только коды нажатых клавиш и изменения экрана.
"Тонкие" машины обладают только частью функциональных возможностей "толстых" машин. Они аналогичны интеллектуальным терминалам мейнфрейма. Они имеют собственную память, дисплей, но получают всю информацию от сервера. У них нет локальной операционной системы, нет жесткого диска и совсем немного вычислительных возможностей. Настоящее отличие "тонкой" машины от "толстой" состоит в отсутствии у первой жесткого диска.
Windows 2000 Terminal Services и Citrix MetaFrame оба являются программным обеспечением тонкого клиента. Оба предоставляют пользователю виртуальный рабочий стол. Приложения выполняются на стороне сервера, позволяя остальным старым ПК с такими операционными системами, как DOS и UNIX, выполнять приложения словно на рабочем столе Windows 2000.
Отключение автоматической проверки правописания в Microsoft Word
Фоновая проверка грамматики крайне негативно влияет на проиводительность сервера и снижает число поддерживаемых ползователей на 50%. Для отключения ее откройте командную строку и введите:
change user/install . Минимизируйте командное окно и откройте Microsoft Word. В меню Tools | Options | Spelling & Grammar уберите флажок "Check grammer as you type." . Закройте диалог, закройте Word. Вернитесь в командное окно и дайте команду
change user/execute
Все новые пользователи получат новую настройку. Существующие польователи должны сделать ее вручную.
Отличия между удаленным доступом и удаленным управлением
Существует два типа удаленных вычислений; вы должны выбрать то, что более подходит к вашим требованиям.
Отсутствие домена
. В этой схеме пользователи создаются и поддерживаются локально на каждом терминальном сервере, хотя это увеличивает работу по администрированию. Отстутствие отказоустойчивости и резервирования ограничивает масштабируемость такой схемы. Балансирование нагрузки также сложно реализовать.
Добавление терминальных серверов Windows 2000 в существующий домен Windows NT 4.0. В этой модели вы можете получить преимущества от использования некоторых функций Windows 2000 Terminal Server. Однако учтите, что вы ограничены моделью домена NT 4.0 и его SAM. При наличии нескольких доменов, размещайте терминальные серверы в одном домене с пользователями.
Добавление терминальных серверов Windows 2000 в существующий Active Directory
Тут вы получаете все преимущества Active Directory. Вы можете хранить информацию о сотнях пользователей, групповых политиках, и кучу другой полезной информации. Это самая богатая возможностями модель для терминальных серверов Windows 2000. Если у вас уже есть NT 4.0, то начните с доменной структуры NT 4.0 и постепенно преобразуйте ее в модель Windows 2000 Active Directory. При использовании Active Directory рекомендуется разместить все терминальные серверы в отдельной организационной единице (OU), поскольку вам придется управлять ими отдельно от остальных серверов и рабочих станций.
Добавление Windows 2000 Terminal Services в другие окружения
Это может быть сложным процессом. В окружении Novell Netware информация пользователей может быть перенесена в Active Directory с помощтю утилиты миграции от Microsoft. В других окружениях может потребоваться много ручной работы по вводу информации о пользователях. Microsoft предлагает утилиту adduser.exe, которая может быть полезна в этой ситуации.
Параметры Appsrv.INI
Файл appsrv.INI содержит настройки, которые определяют сервер приложений и другие предпочтения. Клиент версии 4.20.715 и более поздний содержит только информацию о Custom ICA connections. Для более ранних версий клиентов этот файл содержал информацию обо всех соединениях.
Файл состоит из трех основных секций: WFClient, Application Servers и Connection. Названия секций заключены в квадратные скобки. WFClient содержит общие настройки, применяемые ко всем ICA-соединениям. Application Servers содержит пронумерованный список соединений. Для Connection каждое соединение имеет свою секцию; например, для опубликованного приложения Wordpad это будет [Wordpad].
На клиентских машинах Windows 2000 многие секции в appsrv.INI перенесены в другой файл. Соединения и настройки теперь хранятся отьельно для каждого пользователя подобно тому, как Internet Explorer запоминает настройки разных пользователей. При создании пользователем нового соединения, файлы appsrv.INI, wfclient.INI и pn.INI на сервере Citrix копируются в персональный каталог пользователя (по умолчанию C:\Documents and Settings\username.domainname\Application Data\ICAClient).
Ниже приведен примерный файл appsrv.INI. Номера перед строками приведены только для ссылки на них.
1. [WFClient] 2. Version=2 3. LogFile=C:\Program Files\Citrix\ICA Client\wfclient.log 4. LogFileWin16=wfcwin.log 5. LogFileWin32=C:\Program Files\Citrix\ICA Client\wfcwin32.log 6. LogAppend=Off 7. LogConnect=On 8. LogErrors=On 9. LogTransmit=Off 10. LogReceive=Off 11. LogKeyboard=Off 12. Hotkey1Char=F1 13. Hotkey1Shift=Shift 14. Hotkey2Char=F3 15. Hotkey2Shift=Shift 16. Hotkey3Char=F2 17. Hotkey3Shift=Shift 18. Hotkey4Char=F1 19. Hotkey4Shift=Ctrl 20. Hotkey5Char=F2 21. Hotkey5Shift=Ctrl 22. Hotkey6Char=F2 23. Hotkey6Shift=Alt 24. Hotkey7Char=plus 25. Hotkey7Shift=Alt 26. Hotkey8Char=minus 27. Hotkey8Shift=Alt 28. Hotkey9Char=F3 29. HotKey9Shift=Ctrl 30. DisableSound=Off 31. DisableCtrlAltDel=On 32. MouseTimer=0 33. KeyboardTimer=0 34. ColorMismatchPrompt_Have16_Want256=On 35. ColorMismatchPrompt_Have64K_Want256=On 36. ColorMismatchPrompt_Have16M_Want256=On 37. DosConnectTTY=On 38. ConnectTTY=Off 39. ConnectTTYDelay=1000 40. TcpBrowserAddress= 41. IpxBrowserAddress= 42. NetBiosBrowserAddress= 43. BrowserRetry=3 44. BrowserTimeout=1000 45. LanaNumber=0 46. ScriptDriver=SCRIPT.DDL 47. ScriptDriverWin16=SCRIPTW.DLL 48. ScriptDriverWin32=SCRIPTN.DLL 49. ScriptFile= 50. PersistentCacheEnabled=Off 51. PersistentCacheSize=64424508 52. PersistentCacheMinBitmap=8192 53. PersistentCachePath=C:\Program Files\Citrix\ICA Client\Cache 54. UpdatesAllowed=On 55. COMAllowed=On 56. CPMAllowed=On 57. VSLAllowed=On 58. CDMAllowed=On 59. MaximumCompression=Off 60. 61. [Smartcard] 62. ;=========================================== 63. ;== When SmartcardRequired=yes, connecting to a remote 64. ; application will require a smartcard provided that no other 65. ; remote applications are currently executing.N.B. When enabled 66. ; with the 32-bit DOS client this also prevents the use of insecure 67. ; command line options including /iniappsrv. 68. ;== Omitted entry defaults to `Off'. 69. ;================================================= 70. SmartcardRequired=no 71. ;================================================= 72. ;== Setting a bypass switch to yes tells the system to get its User 73. ; information from the commandline or appsrv.ini file instead of the 74. ; smartcard. 75. ;== Omitted entries default to `No'. 76. ;================================================= 77. BypassSmartcardDomain=no 78. BypassSmartcardUsername=no 79. BypassSmartcardPassword=no 80. ;================================================= 81. ;== Supported Smartcards 82. ;== MPCOS - cards by Gemplus 83. ;== TB-1000 - cards by Microcard 84. ;-------------------------------- 85. ;== Supported values for CardReader key 86. ;== GCR410 - Gemplus GCR410 Smartcard reader 87. ;================================================= 88. CardReader=GCR410 89. ReaderPort=COM2 90. Timeout=1000 ; given in milliseconds 91. [Common Default Information]
92. ProgramGroup=Citrix ICA Client
Строка 1 указывет на начало секции [WFClient].
Строка 2 показвает номер версии.
Строки 3 - 5 указывают размещение файла журнала.
Строка 3 указывает размещение файла журнала для 16-битного клиента DOS.
Строка 4 размещение файла журнала для 16-битного клиента Windows.
Строка 5 размещение файла журнала для 32-битного клиента Windows.
Вы можете изменить имена лог-файлов по своему вкусу. Данные можно направлять на стандартный вывод или стандартное устройство вывода ошибок, указав вместо имени файла stdout или stderr.
Строки 6 - 11 определяет опции журнализации. Значения по умолчанию выделены жирным шрифтом.
Строка 6 LogAppend=Off. Журнал может либо создаваться в новом файле, либо дописываться к существующему файлу. Укажите On для добавления и сохранения истории, Off для перезаписи старых событий и создания нового журнала.
Строка 7 LogConnect=On определяет, надо ли регистрировать события подключения или отключения от сервера Citrix.
Строка 8 LogErrors=On. Регистрирует ошибки.
Строка 9 LogTransmit=Off используется для технической поддержки. Если установлено On, это регистрирует каждый пакет информации, передаваемой от клиента серверу.
Строка 10 LogReceive=Off также предназначена для технической поддержки. Если установлено On, записыватся все пакеты, передаваемые от сервера клиенту.
Строка 11 LogKeyboard=Off. Если установлено On, то все нажатия клавиш и перемещения мыши записываются в журнал.
Строки 12 - 29 управляют настройками горячих клавиш. Будьте осторожны при их ручном изменении. Для каждой горячей клавиши приводятся два значения - символьное (char) и регистровое (shift).
Строки 12 13 соответствуют клавишам вызова панели задач (Task List). Строки 14 - 15 соответствуют клавишам Close Remote Application. Это завершает сеанс с сервером и закрывает приложение. Строки 16 17 соответствуют переключению Title Bar. Строки 18 19 соответсвуют комбинации CTRL-ALT-DEL. Это посылает CTRL-ALT-DEL на сервер и выводит окно регистрации. Строки 20 21 соответствуют CTRL-ESC. Это посылает CTRL-ESC на сервер и выводится список удаленных задач. Строки 22 23 соответствуют ALT-ESC; это вызывает цикл по минимизированным и максимизированным окнам программ, работающих в сеансе ICA. Строки 24 25 соответствуют ALT-TAB; это открывает окно со списком программ, работающих в сеансе ICA и позволяет циклически пройтись по ним. Строки 26 27 соответствуют ALT-BACKTAB; аналогично Alt-TAB, но с циклом в обратном направлении. Строки 28 29 соответствуют CTRL-SHIFT-ESC; это не используется на серверах WinFrame, а на MetaFrame выводит Windows NT Task Manager.
Строка 30 DisableSound= Off Разрешает или запрещает звук на компьютере, оснащенном звуковой картой Sound Blaster 16 или совместимой.
Строка 31 DisableCtrlAltDel=On запрещает использование CTRL-ALT-DEL в сеансе ICA для предотвращения остановки сервера пользователями.
Строки 32 - 33 MouseTimer=0 и KeyboardTimer=0 . Эти значения определяют, как часто посылать события мыши и клавиатуры на сервер. Значения указыватися в миллисекундах. Значения 0 делают сеансы более чувствительными к событиям клавиатуры и мыши. Для модемных соединений вы можете поставить MouseTimer=100 и KeyboardTimer=50 для улучшения производительности.
Строки 34 - 36 ColorMismatchPrompt... были нужны в старых версиях клиентов. Program Neighborhood игнорирует эти установки.
Строки 37 - 39: DosConnectTTY=On, ConnectTTY=Off, ConnectTTYDelay=1000. Эти настройки поволяют использовать эмуляцию TTY для прохода через некоторые сетевые устройства, например, X.25 PADS, требующих аутентификацию в режиме ASCII перед соединением с сервером Citrix.
Строки 40 - 42 TcpBrowserAddress=, IpxBrowserAddress=, NetBiosBrowserAddress= указывают адреса для соответствующих протоколов для поиска опубликованных приложений.
Строка 43, BrowserRetry=3 задает оличество попыток соединения с Master Browser в случае тайм-аута.
Строка 44, BrowserTimeout=1000 определяет количество миллисекунд ожидания ответа после выполнения запроса к Master Browser. Пользователям с медленными соединениями стоит увеличить это значение.
Строка 45, LanaNumber=0 используется для указания NetBIOS, к какому протоколу привязаться. У вас может быть NetBIOS поверх NetBEUI, IPX или TCP. Изменение номера переключает от одного к другому. По умолчанию 0 для NetBEUI.
Строки 46 - 49, ScriptDriver=* ScriptFile=. Это то, что клиент ICA использует для обработки скриптов. Обычно используется для модемных соединений через PBX. Укажите здесь имя файла, который будет обрабатывать команды, требуемые для специальной аутентификации.
Строка 50, PersistentCacheEnabled=Off. Установите значение On для хранения пиктограмм и других графических файлов в клиентском кеше на его локальном диске. Включение этой опции повышает производительность при модемных соедиенениях, а отключение позволяет сэкономить место на диске.
Строка 51, PersistentCacheSize= 64424508 определяет размер кеша графики в байтах.
Строка 52, PersistentCacheMinBitmap=8192 указывает минимальный размер пиктограммы в байтах, которая будет сохранена в локльном кеше.
Строка 53, PersistentCachePath=C:\Program Files\Citrix\ICA Client\Cache указывает расположение кеша графики. Если каталог не существует, он будет создан.
Строка 54, UpdatesAllowed=On разрешает автоматическое обновление ПО клиента, проталкиваемое с сервера.
Строка 55, COMAllowed=On разрешает переназначение COM-портов клиента.
Строка 56, CPMAllowed=On рарешает переназначение принтеров клиента.
Строка 57, VSLAllowed=On автоматически загружает нужный компонент VSL перед загрузкой основного кода клиента. Компонент VSL предназначен для поддержки стека TCP в сетях Microsoft и Novell.
Строка 58, CDMAllowed=On позволяет переназначать локальные драйвы клиента.
Строка 59, MaximumCompression=Off. This setting is set to On if the box
. Включает сжатие данных. В низкоскоростных соединениях сжатие данных увеличивает производительность. В локльной сети вы можете отключить сжатие для снижения нагрузки на процессор.
Строки 60 - 92 показывают данные для устройства чтения смарт-карт.
Печать
Я уверен, что печать доставляет вам, как администратору, больше всего хлопот. Со всеми драйверами, серверами печати, почередями, связью, печать занимает много вашего времени. Это справедливо и в терминальных службах. Если вы используете только Terminal Services, то печать ограничена только классической печатью Windows. Citrix MetaFrame позволяет автоматически переназначать принетры на принтеры компьютеров клиентов. Тут лежит проблема: часто вы не знаете, каким образом эти принтеры подключены к пользовательским компьютерам.
Если вы планируете обновление Citrix
Если вы планируете обновление Citrix MetaFrame for Windows NT 4.0 Server до Citrix MetaFrame 1.8 for Windows 2000, вы можете это сделать так, чтобы сохранить существующие настройки пользователей и установленные приложения. Единственное, о чем вы должны побеспокоиться - чтобы ваше аппаратное обеспечение было совместимым с сервером Windows 2000. Вы можете обратиться к
компании Microsoft.
Когда вы будете готовы к обновлению, в первую очередь сделайте резервную копию всего сервера, включая реестр и все системные файлы. И обязательно составьте план аварийного восстановления.
Завершив резервное копирование, заставьте всех пользователей выйти из системы и завершите все отключенные сеансы. Затем запретите входящие соединения, чтобы никто из пользователей не смог подключиться к серверу. Задокументируйте все требования к серверу, включая:
Информацию о разбиении диска Конфигурацию файла подкачки (если вы его настраивали) Установленные протоколы Требования к памяти Специфические драйверы, например, для сетевого адаптера
Получите все инсталляционные диски, драйверы от производителя, все свежие пакеты обновлений и заплаты.
Как и при установке Windows 2000, вы должны убедиться, что раздела жесткого диска должно хватить для системных файлов, файла подкачки и приложений, которые вы собираетесь инсталлировать на этот раздел. Если размер раздела недостаточно велик, вам следует выполнить переразбиение диска на разделы. Для этого вы можете использовать продукты третьих фирм, например, Disk Image Pro. Или вы можете удалить существующие разделы вместе с данными и выполнить разбиение диска на разделы. Убедившись, что у вас достаточно свободного места, запустите программу установки. Windows 2000 автоматически обнаружит существующую операционную систему и предложит обновление. Следуя диалогам на экране и обращаясь к документации, завершите процесс.
Если вы решили сохранить старый раздел, и он был отформатирован в FAT, вам следует преобразовать его в NTFS. Сделав это преобразование, вы не можете вернуться назад. Если вы выполнили переход с Windows NT 4.0 и затем сделали преобразование файловой системы в NTFS, вы не можете потом вернуться к to Windows NT 4.0 без переразбиения диска. Windows NT 4.0 не понимает новую файловую систему NTFS 5.0, используемую в Windows 2000. Преобразование в NTFS выполняется следующей командой:
CONVERT C: /FS:NTFS
Замените C: именем нужного драйва.
После перехода на Windows 2000 Terminal Services следующей задачей является установка Citrix MetaFrame 1.8 for Windows 2000.
Переназначение аудио
Переназначение аудио позволяет удаленным приложениям проигрывать звук на клиентской машине при наличии на ней звуковой карты. Это может быть включено или выключено как на стороне сервера, так и на стороне клиента. Если настройки разные, принимается наименьшее.
Настроек и их возможных значений настолько много, что для их полного описания не хватит и книги, не то что главы. С каждой новой версией сервера и клиента появляются новые опции. Большинство из них можно отредактировать непосредственно в файле Appsrv.INI. Подробное его описание вы найдете в .
Переназначение буфера обмена
Пользователи могут делать копирование и вставку между приложениями, работающими локально, и приложениями, работаюшими на сервере. Эта функция по умолчанию включена. Однако, это создает некоторую брешь в безопасности. Для отключения можно воспользоваться двумя способами.
Чтобы прекратить совместное использование локальной страницы ClipBook, сделайте следующее:
В локальном окне ClipBook щелкните на странице, совместное использование которой вы хотите прекратить.
Из меню File выбрерите Stop Sharing
Повторите следующие шаги для удаления группы или пользователя из списка разрешений для ClipBook. Вы должны быть владельцем страницы.
В локальном окне ClipBook щелкните на странице, совместное использование которой вы хотите прекратить. Из меню Security выберите Permissions
В списке Name щелкните на имени группы или пользователя, затем щелкните Remove.
Для удаления аудита страницы ClipBook для группы или пользователя, зарегистрируйтесь под администратором и сделайте следующее:
В локальном окне ClipBook щелкните на странице, аудит которой вы хотите прекратить.
Из меню Security выберите Auditing
Из списка Name щелкните на имени группы или пользователя, а затем щелкните Remove
Защита Securing ClipBook Pages
Вы можете установить следубщие уровни доступа к индивидуальным страницам ClipBook с совместным использованием:
No Access Read Read and Link Change Full Control
Отдельные права доступа кумулятивны. Например, если некий пользователь является членом нескоьких групп, а каждая группа имеет разные права на одну и ту же страницу ClipBook, то будут ему будут доступны все права. Исключением является уровень No Access, которое переопределяет все остальные привилегии.
Для установки сервера Windows 2000 вы должны следовать рекомендациям Microsoft. Убедитесь, что сервер удовлетворяет следующим требованиям:
Pentium-совместимый процессор 133MHz или выше Минимум 256MB RAM (максимум 4GB)
Жесткий диск 2.0GB и минимум 1.0GB свободного места на нем.
Windows 2000 Server поддерживает до 4 процессоров на одной машине.
Переназначение дисков
Клиент Win32 ICA среди множества услуг предоставляет возможность переназначать устройства сервера на локальные устройства. Примером тому является переназначение дисков. Это позволяет буквам дисков сервера быть переназначенными на драйвы локального компьютера. Например, диск J: на сервере MetaFrame в сеансе пользователя будет означать диск C: локального компьютера клиента. По умолчанию буквы, назначаемые дискам клиента начинаются с V: и отсчитываются назад, присваивая буквы каждому жесткому диску и CD-ROM. Дисководам гибких дисков присваиваются их существующие буквы.
Опытные администраторы обычно меняют имена дисков сервера на M:, N: и т.д. Этот метод позволяет клиентам получать доступ к собственным драйвам C: и D: непосредственно из сеанса ICA без необходимости запоминать сложную схему переименования. Кроме того, это смущает неподготовленных пользователей, привыкших к C: и D:. Постоянная смена имен дисков часто приводит к проблемам.
Переназначение драйвов
При установке MetaFrame спрашивает, хотите ли вы переназначать диски сервера. Это помогает пользователям при подключении к серверу видеть свои локальные диски. Если вы переназначаете буквы дисков сервера, они станут, например, M:, N:, and O:. При подключении клиента он может назначить C: на сервере на свой локальный диск C:. Если вы переназначили диски, но после перезагрузки драйвы остались C:, D: и т.д., проверьте, не установлен ли программный RAID (например, зеркалирование). MetaFrame не может переназначить буквы, если системный диск зазеркалирован. Разбейте зеркало, удалите раздел с другого диска и переустановите MetaFrame. После установки MetaFrame восстановите зеркало.
Поддержка локальных принтеров
Теперь администраторы могут подключать локальные принтеры рабочих станций.
Roaming Disconnect
Эта функция позволяет пользователю отключиться от сеанса без выхода из системы, пересесть на другую машину и продолжить ту же самую свою работу.
Поддержка множественных регистраций
Пользователь может одновременно зарегистрироваться на нескольких серверах под одним и тем же именем.
Поддержка видео
VideoFrame совместно с MetaFrame 1.8 позволяет доставлять клиентам Win32 видео. VideoFrame использует собственную компрессию и потоковое видео, являющиеся расширением протокола ICA, и обеспечивает производительность, сравнимую или даже лучше аналогичных используемых в настоящее время методов. С этой технологией даже модемные пользователи могут смотреть потоковое видео. Она автоматически подстраивается под скорость соединения для обеспечения максимально возможного качества.
Программное окружение (Program Neighborhood)
С помощью этой функции приложения на сервере могут быть интегрированы с рабочим столом пользователя или даже помещены в меню "Start".
Подготовка
Опрделите, какие приложения необходимо включить в проект. Определите, ккие типы соединений будут использоваться (TCP/IP, IPX/SPX, модем, выделенная линия, LAN, WAN и т.п.).
Определите стандарты производительности приложений.
Определите параметры стоимости для каждого пользователя и для проекта вцелом.
Политики удаленного доступа
Это заключительная стадия настройки удаленного доступа. Политики настраиваются в консоли RRAS.
Для создания новой политики выберите в консоли папку Remote Access Policies, щелкните правой кнопкой мыши в правой панели и выберите New Remote Access Policy.
Введите имя политики, а затем настройте условия. Здесь есть немного доступных опций, начиная от caller ID и заканчивая временем регистрации и принадлежности пользователя группе. Эти настройки будут применяться к удаленным соедиениям.
Если ваш сервер Windows 2000 RAS работает в смешанном режиме, опция управления удаленным доступом посредством политики недоступна.
Серверы RAS Windows NT 4.0 неспособны принимать политику удаленного доступа. По этой причине все пользователи, требущие доступ к службе RAS, должны иметь в своих индивидуальных свойствах право доступа "Allow", а политика удаленного доступа, используемая по умолчанию, должна быть удалена.
Пользовательский режим (User-Specific)
В этом режиме терминальные службы не следят за изменениями, которые приложение делает на сервере, а все файлы копируются в домашний каталог пользователя. Установка приложений в этом режиме не отличается от установки на обычной рабочей станции. Вам следует зарегистрироваться на сервере под обычным пользователем и запустить обычную процедуру установки. Возможно, вам придется временно дать административные права этому пользователю. Затем эти права следует отобрать. В этом режиме приложение будет использоваться только пользователем, его установившим. Все изменения реестра, файлы INI и DLL будут находиться в каталогах пользователя Windows и systems и не будут раздаваться другим пользователям. Для каждого пользователя, требующего это приложение, необходима отдельная инсталляция. Для некоторых приложений необходим этот тип устиановки, но это означает, что для каждого нового пользователя администратору придется регистрироваться под этим пользователем и делать установку. Пользовательский режим также требует больше места на диске, а обновления могут делаться только отдельно для каждого пользователя.
Понятие групповых политик и Active Directory
Понимание принципа работы групповой политики является ключевым фактором в проектировании вашей структуры. Я настоятельно советую перед обновлением вашей сетевой инфраструктуры обратиться к профессионалам за помощью в проектировании структуры Active Directory и пройти обучающий курс.
Одним из важнейших аспектов пректирования является группа. Попытайтесь все разделить на группы. Чем больше типов групп вы можете создать, тем более гибкое управление вы получите. Представьте группы в виде контейнеров; контейнеры используются в Active Directory для хранения в них объектов. Существует два типа объектов групповой политики - локальный и нелокальный. Каждый компьютер с Windows 2000 содержит один локальный объект групповой политики. Нелокальные объекты мы обсудим ниже.
Групповые политики могут применяться к контейнерам Active Direcory: OU, домен или место в следующем порядке:
Локальный (Local) Место (Site) Домен (Domain) Организационная единица (Organizational Unit - OU)
Этот порядок важно запомнить, поскольку политики, применяемые позже, заменяют те, что присвоены ранее, если они имеют значения Enabled или Disabled. Значения типа "Not Configured" пропускаются, и более ранние установки сохраняются.
Профили Organizational Unit используются первыми и применяются начиная с объекта OU, расположенного на самом верхнем уровне в дереве Active Directory, и заканчивая объектом пользователя или компьютеря. Если на уровне OU определены несколько политик, они применяются в порядке, определенном администратором.
Групповая политика, применяемая к месту (site), применяется ко всем его доменам. Групповая политика, применяемая к домену, применяется непосредственно ко всем пользователям и компьютерам этого домена. Групповая политика, применяемая к OU, применяется ко всем пользователям и компьютерам в этой OU, и распространяется на другие OU, лежащие ниже этой OU.
Нельзя связть объект групповой политики с общим контейнером (generic container). Они рассматриваются как всроенные контейнеры. Заглянув в окно Active Directory, вы увидите, что папки типа "generic" выглядят как "обычные" папки. Иконка OU выглядит почти так же, но с маленькой книжкой на папке. Это означает, что вы не можете поместить групповую политику непосредственно на встроенные контейнеры Users или Computers. Однако, они наследуют политику домена, которому принадлежат.
Наследование политики включено по умолчанию. Конечно, существуют средства принудительного наследования или отключения наследования. Установки "No Override" и "Enforce Policy Inheritance" очень мощные, но могут запутать администратора; вы должны всячески избегать их спользования. Тем не менее, иногда их использование бывает очень эффективным.
Некоторые из настроек на закладке "Security" игнорируются, если применяются на уровне OU. Для их действия они должны применяться к домену. Сюда относятся настройки политики пароля, аудита, прав пользователей, регистрации событий, опции безопасности.
Обработка политики компьютера выполняется до нажатия CTRL-ALT-DEL перед входом в систему. Политики пользователей обрабатываются до активирования оболочки. Групповые политики в Windows 2000 обрабатываются каждые 90 минут, поэтому если пользователь внес изменения, противоречащие политике домена, изменения будут возвращены через 90 минут. Этот интервал можно задать в Computer Configuration | Administrative Templates | System | Group Policy | Group Policy Refresh Interval for Computers. Клиентские расширения должны закончить обработку политики в течении 60 минут. Если клиентское расширение не закончило работу через 60 минут, устанвки политики не обрабатываются. Это время изменить нельзя.
Понятие мейнфрейма
Мейнфреймы часто представляют как компьютеры, находящиеся в нише между суперкомпьютерами и миникомпьютерами. Во многих случаях мейнфремы более мощные, чем суперкомпьютеры, поскольку могут поддерживать одновременную работу нескольких программ.
Как правило, суперкомпьютеры быстрее мейнфреймов потому, что один процесс на них выполняется быстрее, чем на типичном мейнфрейме. В зависимости от положения на рынке, одна и та же машина в одной компании может рассматриваться как мейнфрейм, а в другой компании - как миникомпьютер. На сегодняшний день крпнейшими производителями мейнфреймов являются Unisys и IBM.
Мейнфреймы работают по модели централизованных вычислений. Хотя мейнфрейм может быть не быстрее настольного компьютера, для обработки потоков ввода/вывода мейнфреймы используют внешние каналы (индивидуальные ПК). Это существенно освобождает ресурсы процессора. Мейнфреймы могут иметь много портов, высокоскоростной кеш памяти и несколько машин для координации операций ввода/вывода между каналами. Скорость шины на мейнфрейме, как правило, намного выше, чем на настольном ПК. Кроме того, в них используется аппаратные компоненты с контролем и исправлением ошибок. Средняя частота появления ошибок в мейнфреймах составляет 20 лет, что во много раз больше, чем на персональных компьютерах.
Как можно видеть на картинке, модель мейнфрейма поддерживает не только настольные ПК, но и удаленные терминалы. Терминалы, называемые "тупыми" (dumb), не содержат внутренних независимых вычислительных возможностей. Но сегодня терминалы мейнфреймов часто называют "умными" (smart), поскольку в них есть встроенный набор команд вывода на дисплей. Все вычисления производятся на мейнфрейме, а терминалы используются только для ввода/вывода. Такое использование терминалов имеет ряд преимуществ. Во-первых, терминалы относительно дешевле персональных компьютеров. В-вторых, терминалы содержат минимум компонентов и ими легче управлять. Кроме того, терминалы доставляют пользователю тот же самый экран независимо от того, где или когда он вошел в систему.
Централизованная архитектура мейнфрейма дает еще одно преимущество. Когда-то мейнфреймы считались громоздкими, сложными машинами, требовавшими выделенных программистов. Сегодня вычисления в среде "клиент-сервер" могут быть намного сложнее, чем модель мейнфрейма. Увязка протоколов, сетевая топология могут стать головной болью для сетевого менеджера. В этом смысле вычисления на мейнфреймах прямолинейно и существенно легче в реализации. Еще пять лет назад мейнфреймам предрекали участь динозавров. Сегодня, с двумя триллионами долларов стоимости установленных приложений для мейнфреймов, это предсказание можно назвать несколько преждевременным.
Централизованные вычисления не только не ушли в прошлое, но, возможно, станут будущим сетевой архитектуры. Для компании, которая стремится к централизованному, масштабируемому решению, мейнфреймы могут стать весьма привлекательными.
Возможно, начальная цена отпугнет многие компании, но для тех, кто решится на это, общая стоимость владения (TCO - total cost of ownership) будет значительно меньше, чем при схеме распределенных вычислений.
Пожелания при переходе с Windows NT 4.0 Terminal Services
Прежде всего, задайте себе следующие вопросы:
Какую операционную систему я использую в настоящее время? Как я планирую переход на Windows 2000: модернизацией или чистой установкой? Как модернизировать текущую ОС? Переживут ли мои серверы прямую модернизацию? Если нет, то что я должен сделать после чистой установки? Будут ли мои приложения работать в 2000? Какие приложения следует модернизировать? Какие приложения не нуждаются в модернизации? Сколько купить клиентских лицензий (CAL)? Что измениться в приложениях после модернизации?
В наилучшем варианте вы делаете чистую установку Windows 2000 Terminal Services. Обновление текущей операционной системы связана с множеством проблем. Например, Windows 2000 хранит свои системные файлы в каталоге \WINNT, а пользовательскую информацию - в каалоге \Documents and Settings. NT 4.0 TSE использует другие каталоги - \WTSRV и \WTSRV\PROFILES. У вас могут возникнуть проблемы вследствие изменения структуры каталогов. Вы можете избежать этого, установив Windows 2000 на отдельный сервер.
Чистая установка позволит вам тщательно протестировать приложения. В то же время, она требует наличия правильной среды. Профили пользователей должны быть перемещаемыми, а документы должны храниться в сети, например, на центральном файл-сервере в домашних каталогах.
Проверьте совместимость приложений с Windows 2000. Если приложение не совместимо с Windows 2000, вам следует его обновить до подходящей версии.
Большинство программ совместимых с Windows 2000, совместимы и с Terminal Services. Вы можете найти скрипты своместимости в каталоге %systemroot%\Application Compatibility Scripts\Install, а также на веб-сайте Windows Update.
Если же вы выбрали обновление текущей версии, следуйте следующим рекомендациям.
Любая версия WinFrame
. При обновлении Citrix WinFrame сначала обновите Windows NT 4.0 Terminal Server Edition. Затем вы можете обновить до Windows 2000 Terminal Services.
Предотвращение загрузки файлов пользователями
Когда пользователи путешествуют по интернет, они могут случайно загрузить словредные программы и даже вирусы. Для запрещения загрузки файлов в Internet Explorer, сделайте следующее:
С командной строки введите user /install. Запустите Internet Explorer, войдите в меню Tools
и выберите Security. Для выбранной зоны щелкните кнопку Custom level
и найдите в списке позицию Download.
Запретите загрузку файлов и/или шрифтов.
Ближе к началу списка вы также можете запретить загрузку разных типов активных компонентов ActiveX и Java.
Щелкните OK и закройте браузер. С командной строки введите : change user /execute
Это запрещает загрузку для всех на сервере. Чтобы запретить ее только для некоторой группы, это можно сделать с помощью групповой политики:
Откройте апплет
Active Directory Users and Computers
Создайте новую организационную единицу (OU) и назовите ее "Citrix Servers".
Поместите все серверы Citrix в эту OU.
Щелкните правой кнопкой мыши на OU и выберите Properties.
Выберите закладку Group Policy. Щелкните New для добавления объекта и назовите его "Normal Users". Подсветите новый объект и щелкните Edit.
Найдите в объекте Windows Settings/Internet Explorer. Выберите Security Key, и в правой панели дважды щелкните на Security Zones и Content Ratings.
В разделе Security Zones выберите импорт текущих настроек безпасности зоны.
Щелкните кнопку Modify Settings.
Выберите в списке зоны объект Internet.
Щелкните custom level и спуститесь к пункту Downloads.
Здесь вы можете разрешить или запретить загрузку.
Щелкните OK и закройте все диалоговые окна.
Представление приложений пользователям
При развертывании Citrix MetaFrame фундаментальный вопрос состоит в том, нужно ли предоставлять пользователям рабочие столы или только опубликованные приложения. Если пользователи работают с Windows-клиентами, запуск рабочего стола в MetaFrame будет их смущать, поэтому Программное Окружение является предпочтительным способом. Другим клиентам может быть более удобным первый способ. С точки зрения управляемости, безопасности и удобства опубликованные приложения менее сложны, чем создание профилей и использование групповых политик для создания структурированного рабочего стола. Подход на основе NFuse является интресной альтернативой обычному рабочему столу. Ваше решение зависит от требований пользователей.
Преимущества распределенных вычислений
Распределенные вычисления идеально подходят для многих компаний. В модели "клиент-сервер" требования к аппаратному обеспечению для серверов намного меньше, чем для мейнфрейма. Это приводит к снижению начальных издержек. Поскольку каждая рабочая станция обладает своей собственной вычислительной мощью, она может работать независимо от сервера. А посредством использования множества серверов, локальных сетей, глобальных сетей, Интернет, системы распределенных вычислений могут простираться на весь мир. Сегодня пользователи могут работать с корпоративной системой со своих переносных компьютеров откуда угодно, даже в самолетах.
Распределенные вычисления также обеспечивают и надежность. Если информация может дублироваться на нескольких серверах, то отключение одного сервера не предотвращает доступ к информации. Тщательное управление репликацией данных может гарантировать, что только какая-нибудь глобальная катастрофа может привести систему в нерабочее состояние. Резервные каналы связи обеспечивают устойчивость к отказам для систем, содержащих критическую информацию. Это было одной из причин, по которой военные изобретали систему распределенных вычислений.
Наконец, распределенные вычисления позволяют испрользовать устаревшие компьютеры для сложных расчетов, которые они не могли бы делать. Например, старые машины на процессорах 386 могут получать доступ к ресурсам ваших серверов Windows 2000. Причем этот тип доступа прозрачен для пользователя. Разработчик может писать приложение только для одной операционной системы и не проверять, как оно работает на других системах. Это снижает стоимость разработки и программа становится дешевле для пользователя.
Windows 2000 с Terminal Services и Citrix MetaFrame объединяют качество распределенных вычислений и модель мейнфрейма.
Преимущества удаленного управления
ПО удаленного управления стало очень популярным. Используя централизованные инструменты, персонал службы поддержки может решать проблемы, возникающие на удаленном компьютере. Это улучшает поддержку пользователей. Кроме того, администратор может собирать информацию с большого числа машин и вести записи о их конфигурации и установленном пограммном обеспечении. Это помогает следить за использованием лицензий.
Удаленное управление может использоваться и как средство дистанционного обучения. Администратор может работать за другим ПК, подключенным к ПК пользователя, видеть экран пользователя, и помогать пользователю освоить программу в режиме демонстрации.
Программы удаленного управления, как правило, преусматривают защиту. В компаниях, хранящих важную информацию, часто запрещается хранить на своих ПК секретную информацию, чтобы удаленные пользователи не могли получить к ней доступ. При удаленном доступе администратор может ограничить пользователя в загрузке информации на свой домашний ПК.
