Типовые схемы реализации терминальных решений

• Склад
• Удалённый офис
• Центральный офис
• Гостевые терминалы

Вступление

Применение терминальных серверов подразумевает перенос выполняемых приложений и используемых данных на специализированные сервера, обычно находящиеся в отдельных помещениях (серверных), вдалеке от рабочих мест.

Терминальный сервер подразумевает использование надёжных соединений между терминальным сервером и остальными используемыми серверами (и сетевыми хранилищами информации), связь же пользователей и терминального сервера может быть существенно менее надёжной без заметного дискомфорта (или вообще, ненадёжной, с незначительным дискомфортом).

Выделяются три схемы реализации терминальных серверов

• Публикация приложений
• Перенос рабочего стола
• Совмещение удалённого и локального рабочих столов

Публикация приложений

Публикация приложений подразумевает использование пользователями «толстых» клиентов, при удалённом доступе только к ограниченному числу приложений. Подобное решение может быть реализовано только при использовании приложений Citrix (MetaFrame Presentation Server, XenApp server). В этом режиме пользователь осуществляет основную работу в обычном, «не терминальном» режиме, используя «бесшовный» (seamless) режим работы только для 1-2-3 приложений. В такой конфигурации сочетаются преимущества «толстых» клиентов и защищённость терминального режима, однако, подобный режим требует, фактически, удвоения сложности администрирования/обслуживания – надо одновременно продолжать обслуживать толстые клиенты и дополнительно поддерживать работоспособность терминальных серверов (и соответствующую инфраструктуру). Отдельные проблемы в конфигурировании доставляет взаимодействие удалённых приложений с локальными данными (проблемы двух видов – обеспечения прозрачного санкционированного доступа и защита от несанкционированного – например, от сохранения на сменный носитель всей базы данных компании).

Перенос рабочего стола

Данная конфигурация подразумевает использование тонких клиентов для доступа к терминальному серверу – локально у пользователя не выполняется каких-либо приложений, все данные и программы целиком работают на сервере. Подобное решение может быть выполнено как с использованием ПО Citrix, так и средствами Remote Desktop, встроенными в Windows 2003/2008 Server. Ключевыми плюсами подобной конфигурации является полная изоляция среды хранения/обработки данных от места работы сотрудников, низкая цена обслуживания рабочих мест, возможность свободной миграции пользователей с рабочего места на рабочее место без каких-либо простоев (вплоть до сохранения состояния запущенных программ). Существенным минусом подобного решения является необходимость адаптации к терминальному серверу всех используемых компанией приложений, что может быть крайне затруднительно и невозможно.

Совмещение удалённого и локального рабочих столов

В режиме совмещения удалённого и локального рабочего стола пользователь выполняет часть приложений локально, переключаясь на рабочий стол терминального сервера для доступа к некоторым приложениям. Подобная схема эквивалентна решениям Citrix, однако, менее удобна для пользователей, но стоит существенно меньших денег. Дополнительно, подобная схема позволяет разграничить «режимные» данные и приложения от приложений общего пользования. В случае использования удалённого рабочего стола (в сравнении с использованием бесшовного режима Citrix) пользователь может выполнять весь спектр (разрешённых) действий и программ над данными (например, открытие в excel отчёта, сгенерированного в базе данных), а на локальном рабочем столе использовать «нережимные» приложения (например, браузинг в Интернете, доступ к мультимедийным файлам и даже компьютерным играм).

Гибридный режим

Гибридный режим подразумевает совмещение различных режимов для доступа к терминальному серверу различных групп пользователей – например, сотрудники склада имеют ограниченный доступ с тонких клиентов только к заданному списку приложений, а топ-менеджеры и программисты могут использовать режим совмещения удалённого и локальных рабочих столов (удалённо – доступ к базе данных, локально – приложения разработки, отдыха).

Главным преимуществом гибридного режима является «минимальность» реализации каждого из используемых режимов – в случае возможности лёгкой реализации задачи на терминальном сервере она реализуется там, в случае затруднений, локально. При этом, фактически, гибридный режим используется у ограниченного круга лиц (при использовании тонких клиентов у всех остальных), приводя к пропорциональному снижению затрат на обслуживание рабочих мест и обеспечивая безопасность/удобство обслуживания приложений на терминальном сервере.

Примеры типовых решений

Склад

В случае склада, обычной конфигурацией является доступ сотрудников к ПО для ведения складского учёта. В случае если для работы необходима только одна-две программы, возможно воспользоваться режимом seamless, с постоянной запущенностью приложений. Ключевым плюсом такого решения является упрощение интерфейса (т.е. упрощение обучения сотрудников) и ограничение доступа к минимально-необходимому набору ПО.

В случае использования удалённого рабочего стола (например, для доступа к почтовой и офисным программам, программам обмена мгновенными сообщениями), решение проблемы аналогично – настройкой групповых политик и разрешений можно добиться ограничения доступа пользователя к ПО нужной степени «строгости»).

Дополнительным преимуществом является возможность подключения сотрудника с любого из установленных на складе тонких клиентов. В случае идентификации по смарт-карте, пользователю (сотруднику склада) даже не потребуется учить пароль или выяснять, в каком регистре/раскладке клавиатуры следует его вводить.

В случае склада применение тонких клиентов является особо оправданным – складские рабочие места обычно (не смотря на стандарты) находятся в более тяжёлых условиях эксплуатации – грязь, пыль, нарушение температурного режима, влажность. В таких условиях тонкие клиенты без активной системы охлаждения (т.е. с отсутствием тока загрязнённого воздуха внутри корпуса) оказываются существенно надёжнее, чем дёшёвые компьютеры.

В случае удалённого склада, замена тонкого клиента (в случае, например, механического повреждения) может быть произведена силами самих сотрудников склада по простейшей инструкции, без выезда квалифицированного специалиста (для подобного сценария надо выдать «запас» преднастроенных на нужное подключение тонких клиентов и простейшую инструкцию по подключению к электропитанию, монитору, клавиатуре/мыши).

Дополнительно, для удалённого офиса может использоваться менее надёжная линия связи с существенно меньшей пропускной способностью. Так как приложения сотрудников удалённого склада выполняются на серверах, размещённых в удобном для администрировании месте, можно легко контролировать действия сотрудников (в том числе наблюдать за фактической их работой в приложении, в режиме view для терминальной сессии). Список лиц, обладающих правом наблюдения (или даже вмешательства в деятельность) полностью контролируется политиками безопасности на терминальном сервере (и не может быть изменён сотрудниками склада).

Временные затраты:

• Установка полного комплекта (с установкой периферии): 20-30 минут, квалификация средняя (навык установки монитора и подключения сети).
• Замена компоненты (любой из): 5-10 минут, квалификация минимальная.

Стоимость решения:

• Тонкий клиент Norma-TS на рабочее место.
• Периферия: аналогично обычным рабочим местам (зависит от потребностей)
• Интернет – 10-40кбит/с на рабочее место (25 человек – 512кбит/с)
• Оборудование: маршрутизатор с поддержкой VPN-соединения (от $100-150)
• Неуправляемый коммутатор (около $2 за порт)
• Клиентская лицензия, Windows CAL ($20/рабочее место)
• Терминальная лицензия ($65)
• Если применяется citrix, то лицензия citrix (в случае применения citrix, помимо citrix-лицензии необходимы и лицензии microsoft): $170/раб. место.

Удалённый офис

С точки зрения терминального сервера удалённый офис в большинстве случаев похож по конфигурации на случай удалённого склада (за исключением того, что офисным работникам обычно разрешён доступ к большему спектру приложений). В ряде случаев (например, необходимость доступа к полиграфическому ПО, к ПО контроля производственного оборудования) может использоваться либо гибридная схема (локальный доступ к специализированному ПО с отдельных рабочих мест и тонкие клиенты у «неспециализированных» рабочих мест), либо схема с публикацией приложений. Последняя схема требует обязательного наличия сотрудников технической поддержки в каждом офисе и увеличивает сложность администрирования. При сколь-либо значимом размере удалённого офиса возникает потребность в отдельных серверах-контроллерах домена (а в случае использования Microsoft Exchange – и серверах маршрутизации/хранения почты), что существенно увеличивает стоимость организации и обслуживания офиса.

Вариант с тонкими клиентами, напротив, требует минимальных вложений в оборудование (тонкие клиенты и сетевое оборудование) и позволяет избежать увеличения штата службы поддержки.

Временные затраты:

• Установка полного комплекта (с установкой периферии): 20-30 минут, квалификация средняя (навык установки монитора и подключения сети).
• Замена компоненты (любой из): 5-10 минут, квалификация минимальная.
• Установка гибридного рабочего места (от 3 до 8 часов, в зависимости от комплектации), +5 минут для установки терминала.

Стоимость решения:

• Тонкий клиент Norma-TS на рабочее место.
• Периферия: аналогично обычным рабочим местам (зависит от потребностей)
• Интернет – 15-50кбит/с на рабочее место (25 человек – около 700 кбит/с)
• Оборудование: маршрутизатор с поддержкой VPN-соединения (от $100-150)
• Неуправляемый коммутатор (около $2 за порт)
• Клиентская лицензия, Windows CAL ($20/рабочее место)
• Терминальная лицензия ($65)
• Если применяется citrix, то лицензия citrix (в случае применения citrix, помимо citrix-лицензии необходимы и лицензии microsoft): $170/раб. место.

В случае использования серверов в удалённом офисе:

• Серверная лицензия на Windows 2003 – около $800
• Лицензия на Microsoft Exchange (2007, Standard) - $1200
• Сервера – минимум $1000/шт.

Центральный офис

Центральный офис обычно находится недалеко от службы поддержки, в центральном же офисе обычно располагаются требовательные пользователи (старшие менеджеры, начальники отделов, директорат). Не смотря на то, что центральный офис может быть организован как обычный удалённый офис (тонкие клиенты), на практике обычно принято выделять особые группы привилегированных пользователей, обладающих большой свободой в использовании ПО или не желающие испытывать на себе ограничения по правам доступа. В таких случаях применяется гибридная схема для привилегированных групп пользователей (либо с использованием публикации приложений через ПО Citrix, либо с совмещением удалённого и локального рабочего стола), и тонкие клиенты для всех остальных групп. Ключевым преимуществом (по сравнению с «толстыми» решениями) является обеспечение сохранности данных и запущенных приложений из «режимной» группы (т.е., обычно, приложения, данные которых наиболее ценны) даже в случае локальной поломки рабочего места.

Временные затраты:

• Установка полного комплекта (с установкой периферии): 10-30 минут, квалификация средняя (навык установки монитора и подключения сети).
• Замена компоненты (любой из): 5-10 минут, квалификация минимальная.
• Установка гибридного рабочего места (от 3 до 8 часов, в зависимости от комплектации), +5 минут для установки терминала.

Стоимость решения:

(в стоимость решения не включена стоимость организации локальной сети)

• Тонкий клиент Norma-TS на рабочее место.
• Периферия: аналогично обычным рабочим местам (зависит от потребностей)
• Интернет – 10-40кбит/с на рабочее место (25 человек – 512кбит/с)
• Клиентская лицензия, Windows CAL ($20/рабочее место)
• Терминальная лицензия ($65)
• Если применяется citrix, то лицензия citrix (в случае применения citrix, помимо citrix-лицензии необходимы и лицензии microsoft): $170/раб. место.
• Стоимость гибридного рабочего места определяется комплектацией.

Гостевые терминалы

Гостевые терминалы позволяют пользоваться Интернетом, неким набором ПО любому желающему (оказавшемуся за клавиатурой терминала) без идентификации или регистрации. Подобные терминалы должны выполнять три задачи:

• Обеспечивать удобство «гостей»
• Обеспечивать защиту домашней сети от действий гостей
• Защищать последующего гостя от (возможно) недружелюбных действий предыдущего (установка кейлоггеров, шпионского ПО, повреждение ПО).

Использование тонких клиентов (с настройкой на автологин с специализированного гостевого аккаунта, обычно отдельный аккаунт для отдельного терминала), позволяет предоставить гостям практически произвольный список ПО (определяется исключительно желанием/возможностями «хозяев»), с строгим ограничением по доступу к «неразрешённым» приложениям. Использование гостевых учётных записей позволяет защитить одного гостя от другого (при каждом завершении сеанса настройки восстанавливаются в состояние «по-умолчанию»), а физическая изоляция компьютера, выполняющего программы (терминального сервера) позволяет защитить систему от недобросовестных действий (единственным видом негативного действия в подобном случае остаётся физическая порча терминала, что может быть предотвращено вандалоустойчивыми реализациями). При обеспечении гостевого доступа рекомендуется использование дисковых квот и менеджера ресурсов (Windows System Resource Manager) для защиты терминального сервера от исчерпания ресурсов (дискового пространства) действиями «гостей».

Временные затраты:

• Установка полного комплекта (с установкой периферии): 30-60 минут, квалификация средняя (навык установки монитора и подключения сети).
• Замена компоненты (любой из): 15-30 минут, квалификация средняя.
• Установка вандалоустойчивого корпуса – зависит от модели.

Стоимость решения:

• Тонкий клиент Norma-TS на рабочее место.
• Периферия: аналогично обычным рабочим местам (зависит от потребностей)
• Клиентская лицензия, Windows CAL ($20/рабочее место)
• Терминальная лицензия ($65)
• Вандалоустойчивый корпус – зависит от производителя, от $1500.

© George Shuklin, 2008.