Transcript тут
«Новый способ построения информационной инфраструктуры современного предприятия» Технические подробности
WIT Networks Copyright 1993-2006
О терминальном доступе
Простая идея – поручить серверу выполнение всех счетных и графических задач, обработку графических объектов, оставив терминальному клиенту только - Отрисовку изменений экрана - Передачу на сервер действий пользователя (нажатий клавиш, движений мыши) Сервер Тонкий клиент
Расширенные возможности терминальных серверов
• Назначение приложений сессиям/клиентам • Подключение локальных дисков • Распределение в сети локально подключенных устройств (принтеров, сканеров, считывателей штрих-кодов) • Перенаправление звука для локального проигрывания • Серверные фермы и виртуализация приложений • Балансировка загрузки между серверами в «серверной ферме» • Работа с общим ClipBoard для локального компьютера и для терминальной сессии на сервере
WIT Networks Copyright 1993-2005
Используемые в терминалах OS
• Свободно распространяемые операционные системы с открытым кодом (Linux, FreeBSD…) • Варианты Windows для встроенных систем (Windows CE, Windows XP Embedded)
WIT Networks Copyright 1993-2005
MS Windows CE
Windows CE – это - знакомый графический интерфейс - Наличие Registry - API и архитектура, основанная на DLL Но есть отличия - Монолитное ядро (ROM-based система) - Особая модель драйверов устройств - Несовместимость с Win32 (Windows – программы НЕ ПОЙДУТ на WinCE)
Мы используем Windows CE 5.0 WIT Networks Copyright 1993-2005
MS Windows XP Embedded
Windows XP Embedded – это • Компонентная версия полной Windows XP Professional • Заметно сниженные требования к аппаратуре (128MB RAM, Pentium III <1GHz), не нужен жесткий диск • Полная совместимость с Win32 программами и драйверами устройств Минусы • Высокая стоимость лицензии • Запрет использования (от MicroSoft) в качестве полноценной операционной системы
Мы используем Windows XP Embedded SP2 WIT Networks Copyright 1993-2005
Linux
ОС с многими достоинствами • Система с открытым кодом (проверенные исходники, отсутствие неизвестных «дыр» и «закладушек») • Огромное количество доступных свободных программ Проблемы • Драйвера не под все «железо»
Мы используем дистрибутив Red Hat Linux с ядром версии 2.6
WIT Networks Copyright 1993-2005
Аппаратная часть - VIA Tech
VIA - уникальная фирма
• VIA владеет патентом на производство x86 – совместимых процессоров • VIA производит чипсеты • VIA имеет собственную версию сетевого адаптера 10/100, звуковой подсистемы, встроенной в чипсет AGP-графики с аппаратным ускорением MPEG-декодирования • VIA разработала собственный компьютерный стандарт – форм-фактор ITX – основу для построения недорогих надежных встроенных устройств и barebone-систем
WIT Networks Copyright 1993-2005
Аппаратная часть – VIA Tech
Результатом совмещения этих опытов служит семейство материнских плат формата mini-ITX. Платы построены на 2ух чипсетах – PLE/KLE 133 и CLE266, которые работают с памятью соответственно форматов SDRAM и DDR и имеют полный набор компонентов полноценного PC
Авторизация по Smart-картам/ USB ключам
Используются ключи фирмы Aladdin Security Solutions Часть системы безопасности доменов Windows 2000/ 2003
-
Строгая двухфакторная аутентификация (полный отказ от системы имя пользователя + пароль)
-
Цифровые сертификаты (стандарта X.509) издаются сервером и имеют срок действия, могут быть аннулированы в любой момент времени
-
Ключи Aladdin могут использоваться для множества разных задач, как то – регистрация в домене, терминальный вход в сервер, безопасность электронной почты MS Outlook и документов MS Office, шифрация VPN-каналов WIT Networks Copyright 1993-2006
Терминалы WIT Networks
4 модели для различных секторов рынка Неофит Странник Хакер Профи Икс (Wireless)
WIT Networks Copyright 1993-2005
WIT «Неофит»
Наиболее простое в устройстве и эксплуатации бездисковое сетевое устройство. Работает под операционной системой Linux (удаленная загрузка ядра).
Конфигурация:
• Платформа VIA EPIA-V в корпусе Mini-ITX • 128MB SDRAM PC133 памяти • Удаленно загружаемое ядро на основе Linux 2.6.2
• клиенты ICA версии 7.00.77757, RDP - 1.2.0, VNC (Virtual Network Connection) серверами клиент
Возможности
: • открытие нескольких одновременных сеансов связи с серверами Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame, VNC • автоматическое определение разрешающей способности монитора, сетевых настроек • сетевые UNIX-утилиты
WIT Networks Copyright 1993-2005
WIT «Хакер»
Профессиональная модель с расширенными возможностями.
Допускает автономную работу и сохранение настроек.
Конфигурация Возможности:
: • Платформа VIA EPIA-V в корпусе Mini-ITX • 128MB SDRAM PC133 памяти • FLASH - диск емкостью 32MB • операционная система Windows CE (5.0) • клиенты ICA версии 8.0, RDP - 5.5 • открытие нескольких одновременных сеансов связи с Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame • локальный выход в интернет, почтовый клиент, клиент Windows Messenger • просмотр файлов в форматах Adobe Acrobat, Microsoft Word, Microsoft Excel • подключение непосредственно к терминалу распределенных сетевых ресурсов - принт-серверов, shared-дисков • ftp-клиент
WIT Networks Copyright 1993-2005
WIT «Странник»
Единственное на рынке беспроводное решение!
Конфигурация:
• Платформа VIA EPIA-ML в корпусе Mini-ITX • 128MB DDR PC2100 памяти • FLASH - диск емкостью 128MB • беспроводный сетевой адаптер стандарта 802.11G+ • операционная система Linux • клиенты ICA версии 7.00.77757, RDP - 1.2.0, VNC (Virtual Network Console)-клиент
Возможности:
• открытие нескольких одновременных сеансов связи с серверами Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame • работа в сетях стандарта 802.11a/b/g+, шифрование беспроводного канала связи, роуминг между точками доступа • локальный выход в интернет
WIT Networks Copyright 1993-2005
WIT «Профи ИКС»
Наиболее полная профессиональная версия с возможностями беспроводного подключения
Конфигурация:
• Платформа VIA EPIA-ML в корпусе Mini-ITX • 128MB DDR PC2100 памяти • FLASH - диск емкостью 256MB • операционная система Windows XP Embedded SP2 • клиенты ICA версии 9.0, RDP - 5.5
• авторизация по smart-картам
Возможности:
• Полнофункциональный клиент доступа к серверам Windows 2000/ 2003 Terminal Server, CITRIX MetaFrame • локальный выход в интернет, возможность добавления почтового клиента, Windows Messenger, ICQ
WIT Networks Copyright 1993-2005
Сравнение терминалов
Модель Неофит
Операционная система Загрузка ОС
Linux
По сети Smart Card авторизация Нет Беспроводное подключение Невозможно Работа с серверами Windows 2000/2003, CITRIX Есть
Хакер Windows CE
Локально Нет Нет Есть
Странник Профи Икс Linux
Локально
Windows XP Embedded
Локально Нет Есть Есть Есть Есть (опционально) Есть
WIT Networks Copyright 1993-2006
Различные прошивки терминалов
WIT "Хакер" (MS Windows CE 5.00)
Имидж Подключение USB Flash дисков (FAT/ FAT32) Коммуникатор
Полный (рабочий стол)
Разрешено
Терминальный (автоматическое подключение к серверу) при старте
Запрещено MSN Messenger ICQ Lite
WIT «Профи Икс" (MS Windows XP Embedded SP2)
Сетевое соединение Подключение USB Flash дисков (FAT/ FAT32/ NTFS) Коммуникатор LAN (встроенный сетевой адаптер) Разрешено MSN Messenger WLAN (беспроводная карточка WiFi) Запрещено ICQ 2003b Pro
WIT Networks Copyright 1993-2006
Терминалы WIT Networks
4 модели для различных секторов рынка Неофит
$215
Странник
$265
Хакер
$235
Профи Икс (Wireless)
$355 ($380)
Безопасность работы в терминальном режиме
• • По умолчанию, соединения с терминальным сервером шифруются по симметричному алгоритму RC4 с ключом 128 бит 2 системных параметра в Registry контролируют безопасность при передаче паролей
1) HKLM/SYSTEM/CurrentControlSet/Control/Lsa/LMCompatibilityLevel Значения ключа
1: Использовать LM или NTLM, никогда не использовать NTLM2 2: Использовать LM или NTLM, NTLM2 – если возможно 3: Использовать только NTLM, NTLM2 – если возможно 4: Отказывать в LM -аутентификации (Windows NT 4 DC) – только NTLM2 5: Отказывать в LM И NTLM -аутентификации (Windows NT 4 DC) – только NTLM2
2) HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA\MSV1_0 Необходимо добавить
Value Name: Value:
NtlmMinClientSec
Data Type: REG_WORD 0x00000010- Message integrity 0x00000020- Message confidentiality 0x00080000- NTLM 2 session security 0x20000000- 128-bit encryption 0x80000000- 56-bit encryption Требуется перезагрузка сервера, чтобы выставленные параметры вступили в силу
ICA и RDP клиенты
- В варианте Microsoft (RDP) существует для всех Windows, начиная с 3.11, а также Windows CE - В варианте CITRIX (ICA) – еще и на множестве других программных платформ (MacOS, Linux, Solaris, AIX, IRIX, OS/2…) При работе через TCP/IP используются номера портов
RDP клиент – порт 3389 Может быть изменен с помощью ключа registry для всех подключений HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp или для специфического соединения (предварительно сохраненного) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection На клиенте номер порта задается редактированием файла *.cns (Client Connection Manager-> File - > Export), параметр «Server Port» ICA клиент – порт 1494 Изменение номера порта делается с помощью утилиты командной строки icaport /PORT:XXX На клиенте просто добавляется номер порта через двоеточие после IP-адреса или имени сервера (как и в любом интернет-браузере)
Типичные сценарии применения терминалов
• • • • Внутрифирменные информационные системы, использующие WWW-интерфейс; интранет Доступ к базам и информационным хранилищам, справочникам Плохо масштабируемые при работе через сеть приложения (типа 1С, устаревших баз, работающих по принципу файл-сервера) Организации с небольшим набором стандартно используемых приложений
WIT Networks Copyright 1993-2005
«Бессерверное» применение
Интернет
WIT Networks Copyright 1993-2006
Применение «Неофита»
WIT Networks Copyright 1993-2006
Клиент с «CITRIX»
MS Windows 2000/2003 Solaris x86 IBM AIX Терминал с клиентом CITRIX ICA
WIT Networks Copyright 1993-2006
Применение «Странника» и «Профи Икс Wireless»
Беспроводная точка доступа стандарта 802.11a/b/g+
WIT Networks Copyright 1993-2006
«Серверная ферма»
Внешнее дисковое хранилище Traffic Director
WIT Networks Copyright 1993-2006
В каких случаях не получится использовать терминальные станции
- Если необходима работа с большим разрешением экрана/ глубиной цвета (графические пакеты, обработка мультимедиа) - Не все программное обеспечение заработает в терминальном режиме сервера - Некоторые программы (средства разработки и пр.) требуют толстого ПК, а не тонкого клиента - Компьютерные игры
WIT Networks Copyright 1993-2005
Примерные конфигурации серверов
Сервер начального уровня – для работы 10-15 пользователей Pentium 4 Dual 3.0GHz 800MHz/ 1GB RAM/ 2x HDD 120GB Сервер среднего уровня – для подключения 20-50 пользователей 2x Pentium XEON 2Core/ 2GB RAM/ 3x HDD 73GB/ RAID Мощный сервер – для работы 50-100 терминальных клиентов 4x Pentium XEON MP 2.5GHz/ 4GB RAM/ 5x HDD 146GB/ RAID Серверные фермы…
WIT Networks Copyright 1993-2005
Лицензирование мат.обеспечения
1) 2) в цену терминала включена лицензия на WinCE/ Windows XP Embedded; LINUX версия – бесплатна При подключении к Windows Terminal Services в дополнение к стандартной CAL-лицензии R18-00133(4) Windows Server CAL 2003 OLP NL User/ Device CAL $30 необходима также лицензия для терминального подключения R19-00133(4) Windows Terminal Svr CAL 2003 OLP NL User/ Device CAL $83 3) Продукты терминального доступа CITRIX покупаются В ДОПОЛНЕНИЕ к лицензиям Microsoft (лицензия на 1 соединение) MW2ZPSS0001 Presentation Server 3.0/4.0, Standard - x1 Concurrent User Connection Packs MW2ZPSA0001 Presentation Server 3.0/4.0, Advanced - x1 Concurrent User Connection Packs MW2ZPSE0001 Presentation Server 3.0/4.0, Enterprise - x1 Concurrent User Connection Packs $275 $330 $375
Терминалы позволяют экономить на лицензировании
• Необходимо покупать столько лицензий, сколько одновременных приложений могут иметь запускать подключенные пользователи • Тем не менее, при сравнении с количеством приложений, которые нужно установить на персональных компьютерах, появляется экономия
!
WIT Networks Copyright 1993-2006
Спасибо!
Ваши вопросы Наш стенд – 240D Демонстрация всех моделей
WIT Networks Copyright 1993-2005